OAuth Google + scope minimization

## Что это Google OAuth для Gmail/Calendar/Drive/YouTube. Запрашиваем только минимальные scopes per-source (incremental auth). ## Критерии приёмки - [ ] Incremental auth: pendgmail отдельно от calendar - [ ] Refresh token не теряется (offline access) - [ ] Revoke flow + cleanup creds ## Зачем История E02-S06 из roadmap-эпика E02. Безопасная мульти-тенантность — это разница между «локальный десктоп» и «продукт для команды». Без правильной auth-модели нельзя продавать B2B. **Что войдёт в первую версию:** - [ ] Incremental auth: pendgmail отдельно от calendar - [ ] Refresh token не теряется (offline access) - [ ] Revoke flow + cleanup creds ## Источники вдохновения - [steipete/better-auth](https://github.com/steipete/better-auth) - [agisota/senpi](https://github.com/agisota/senpi) - [wasp-lang/open-saas](https://github.com/wasp-lang/open-saas) ## 🔗 Linear - [PZD-412](https://linear.app/kuhjie/issue/PZD-412) — backing ticket