fix(auth): 계정 비활성화(isActive)를 서버에서 강제 — 차단 우회 차단

jwt() select에서 isActive가 누락돼 토큰에 안 실렸고, proxy/authorize/signIn 어디서도
검사하지 않아 "비활성화"된 계정이 기존 JWT(기본 30일)로 계속 접근하고 재로그인까지
가능했다. isActive를 토큰에 싣고 모든 진입점에서 강제한다.

- jwt select+token+session에 isActive 추가, next-auth 타입에 isActive 선언
- proxy.ts: token.isActive===false면 페이지는 /rejected, API는 401
- authorize(credentials)·OAuth signIn: 비활성 계정 로그인 거부
- mobileAuth(getAuthedUser): Bearer/cookie 두 경로 모두 isActive===false면 null(추가 쿼리 없음)

Constraint: 명시적 isActive===false일 때만 차단한다(stale 토큰의 undefined는 통과해 기존 사용자 락아웃 방지).
Confidence: high
Scope-risk: system
Reversibility: moderate
Directive: 배포 후 관리자가 테스트 계정 비활성화→접근/재로그인 차단을 1회 확인.
Tested: tsc·build EXIT 0, vitest 120건. 백워드 호환(undefined 통과) 로직 검토 완료.
Not-tested: 실세션 기반 차단 E2E(세션 필요)는 배포 후 수동 확인.
Related: lib/authOptions.ts jwt callback

🐙 Autopus <noreply@autopus.co>