WS-6: Google-Login via Laravel Socialite

- Socialite installiert; oauth_provider/oauth_provider_id an users (Migration).
- GoogleController (redirect/callback) + SocialAuthService: De-Dup über E-Mail,
  neuer User aktiv + verifiziert + customer (Verifizierung über den Google-
  Kanal), offener Selbst-Registrierer wird onboardet, deaktivierter Account wird
  NICHT reaktiviert. Abschluss über die gemeinsame LoginRedirect-Logik
  (rollengerecht, 403-sicher).
- Routen /auth/google/redirect + /auth/google/callback (guest), "Mit Google
  anmelden/registrieren"-Buttons auf Login und Register.
- config/services.php google + .env.example-Keys; Sicherheits-/Deployment-Doku
  ergänzt (Keys, Redirect-URI, Migration).

Tests: neuer User, De-Dup bestehender User, deaktivierter Account blockiert,
unverifizierter Registrierer onboardet, fehlgeschlagener Callback.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>

app/Services/Auth/SocialAuthService.php

@@ -0,0 +1,83 @@
+<?php
+
+namespace App\Services\Auth;
+
+use App\Enums\RegistrationType;
+use App\Models\User;
+
+/**
+ * Auflösung eines Social-Logins (Google, ggf. weitere) auf einen lokalen User.
+ *
+ * Identität ist die E-Mail (De-Dup darüber, keine Dubletten). Der Provider
+ * bestätigt die E-Mail, daher gilt die Verifizierung über den Kanal als erfüllt
+ * (Entscheidung 15.06.) – kein zusätzlicher E-Mail-Verifizierungsschritt.
+ */
+class SocialAuthService
+{
+    public function __construct(private readonly UserRolePermissionSyncService $roleSync) {}
+
+    /**
+     * Liefert den (ggf. neu angelegten) User zur Social-Identität. Ein
+     * deaktivierter Bestands-Account wird NICHT reaktiviert – der Aufrufer prüft
+     * danach is_active und blockiert.
+     */
+    public function resolveUser(string $provider, string $providerId, ?string $email, ?string $name): ?User
+    {
+        $email = $email ? mb_strtolower(trim($email)) : null;
+
+        if ($email === null || $email === '') {
+            return null;
+        }
+
+        $user = User::query()->whereRaw('LOWER(email) = ?', [$email])->first();
+
+        if (! $user) {
+            return $this->createUser($provider, $providerId, $email, $name);
+        }
+
+        $user->forceFill([
+            'oauth_provider' => $provider,
+            'oauth_provider_id' => $providerId,
+        ]);
+
+        // Noch nicht verifiziert (offener Selbst-Registrierer): der Provider
+        // bestätigt die E-Mail → Onboarding abschließen (aktiv + customer).
+        if ($user->email_verified_at === null) {
+            $user->forceFill([
+                'email_verified_at' => now(),
+                'is_active' => true,
+            ])->save();
+
+            if ($user->roles()->doesntExist()) {
+                $this->roleSync->assignRoleAndSyncPermissions($user, 'customer');
+            }
+
+            return $user;
+        }
+
+        // Bereits verifiziert: nur Provider verknüpfen. is_active bleibt
+        // unangetastet (deaktivierte Accounts werden nicht reaktiviert).
+        $user->save();
+
+        return $user;
+    }
+
+    private function createUser(string $provider, string $providerId, string $email, ?string $name): User
+    {
+        $name = $name !== null ? trim($name) : '';
+
+        $user = User::create([
+            'name' => $name !== '' ? $name : $email,
+            'email' => $email,
+            'registration_type' => RegistrationType::Company->value,
+            'is_active' => true,
+            'oauth_provider' => $provider,
+            'oauth_provider_id' => $providerId,
+        ]);
+
+        $user->forceFill(['email_verified_at' => now()])->save();
+        $this->roleSync->assignRoleAndSyncPermissions($user, 'customer');
+
+        return $user;
+    }
+}