[aside] authed な SPA 機能は「local dev → prod backend」proxy 構成では検証できない ── OAuth callback が完走せず authed 状態を作れない。

PR #313(workspace 切替、picker は `isAuthed()` ゲート裏)を local 検証しようとして踏んだ、feature スコープ外の dev-workflow gap。`web/vite.config.ts` で `VITE_QUACKER_BACKEND=https://quacker.club` にすると read 系(`/api/identity`・`/events.json`・`/projection.duckdb`)は proxy で通り匿名 feed は出る。が **OAuth ログインが完走しない** → token が localStorage(`quacker.mcp_token`)に乗らず `isAuthed()` false → picker / Account 等 authed-only UI が一切出ない(user も「callback の問題」と確認)。

推定機構: prod の session cookie が `quacker.club` ドメイン scoped で localhost オリジンに乗らない / redirect_uri が localhost で弾かれる、のいずれかで callback step が切れる。dev proxy は `changeOrigin` 未設定の string target。

触らない判断: #313 は SPA feature が scope。dev auth 経路の整備は別軸。

想定インパクト: 今後 authed-gated な SPA 機能(group / token / feedback 等)を「実 prod データで」local 検証する道が無く、毎回 (a) token 注入(localStorage に owner token を入れる)か (b) fully-local backend + local auth に頼ることになる。実際この session でも本番デプロイ後の確認に持ち越した。トリガー = authed SPA 機能の local 検証を繰り返すなら、dev proxy に `changeOrigin` + localhost redirect_uri 許容(or dev 用 token 注入 helper / auth bypass)を整える。