security: 隐私接口全面加固，统一 token 鉴权

- /api/orders/[id] 只返回 id/status/expiresAt，移除 user_name/pay_url 等隐私字段
- /api/orders/[id]/cancel 改为 token 鉴权，服务端验证用户身份后执行取消
- /api/orders (POST 响应) 过滤 userName/userBalance，不向客户端暴露
- /api/user 移除 username/email/balance，只返回 id/status 和 config
- /api/users/[id] 只返回 {id, exists}，不暴露任何隐私信息
- pay/page.tsx 恢复从服务端动态获取 config，无 token 时只显示用户 ID
- pay/orders/page.tsx 无 token 时不查询隐私接口，统一按钮样式
- PaymentQRCode 新增 token prop，无 token 时隐藏取消按钮
- 创建订单失败改为中文错误提示

src/app/api/orders/route.ts

@@ -44,7 +44,9 @@ export async function POST(request: NextRequest) {
       clientIp,
     });
 
-    return NextResponse.json(result);
+    // 不向客户端暴露 userName / userBalance 等隐私字段
+    const { userName: _u, userBalance: _b, ...safeResult } = result;
+    return NextResponse.json(safeResult);
   } catch (error) {
     if (error instanceof OrderError) {
       return NextResponse.json({ error: error.message, code: error.code }, { status: error.statusCode });