Auth: Frontend haengt Token konsistent an Backend-Anfragen

[jurei733]

Parent: #151

Ziel

Frontend sendet Auth-Tokens konsistent fuer geschuetzte Backend-Anfragen.

Akzeptanzkriterien

• Zentraler Interceptor/Service deckt relevante Anfragen ab.
• Replay-/Sondertokens bleiben getrennt behandelbar.
• Fehler bei fehlendem/abgelaufenem Token fuehren zu definierter UX.
• Tests decken Header-Setzung und Ausnahmen ab.

[jurei733]

Stand der Prüfung am 2026-06-02:

Es gibt keinen PR, der dieses Issue direkt mit #567, Refs #567 oder Fixes #567 referenziert. Fachlich relevant ist aber vor allem #448 (Feature/OIDC authenticate flow). Ergänzend ist #628 bereits gemergt und verbessert den Auth-Bootstrap/Session-Fehlerzustand.

Abgleich mit den Akzeptanzkriterien:

• Zentraler Interceptor/Service: weitgehend begonnen. In Feature/OIDC authenticate flow #448 ist authInterceptor registriert und setzt den Bearer-Token, sofern kein Authorization-Header vorhanden ist. Es existieren aber weiterhin mehrere manuelle Header-Setzungen in Frontend-Services, daher noch keine vollständig konsolidierte zentrale Lösung.
• Replay-/Sondertokens: größtenteils berücksichtigt. Vorhandene Authorization-Header werden vom Interceptor nicht überschrieben; Replay-/Coding-Flows können explizite authTokens setzen. Backend-seitig gibt es JwtOrWorkspaceTokenAuthGuard und eine Workspace-Token-Strategy.
• Definierte UX bei fehlendem/abgelaufenem Token: weitgehend umgesetzt. 401 führt zum Re-Authentication-State, 403 zu Berechtigungshinweisen. Fix workspace auth bootstrap loading #628 ergänzt Retry-/Fehlerzustände für Auth-Bootstrap und auth-data-Laden.
• Tests: teilweise vorhanden. Es gibt Tests für 401/403-Verhalten, Auth-Bootstrap, Workspace-Token und replay-sichere Endpunkte. Nicht gefunden habe ich einen expliziten Test, dass der Interceptor den Header setzt und vorhandene Sondertoken-Header nicht überschreibt.

Status: fachlich weitgehend in #448 umgesetzt, aber noch nicht abgeschlossen/mergebar. #448 hat grüne Checks, ist aktuell aber DIRTY/CONFLICTING und muss vor Merge noch konfliktfrei gemacht werden. Außerdem sollte die zentrale Header-Logik bereinigt und um die fehlenden Interceptor-Tests ergänzt werden.