Scope Freeze de Contratos: Registro y Autenticación V1

Este documento congela el alcance contractual de inicio de desarrollo para Registro y Autenticación.

1. Alcance V1 (in-scope)

Los siguientes endpoints quedan aprobados para implementación V1:

Módulo	Endpoint	Método	Estado
Registro	`/api/v1/auth/register`	POST	V1
Registro	`/api/v1/auth/token/verify`	POST	V1
Registro	`/api/v1/auth/token/resend`	POST	V1
Registro	`/api/v1/profiles/patient`	PATCH	V1
Registro	`/api/v1/profiles/doctor`	PATCH	V1
Autenticación	`/api/v1/auth/login`	POST	V1
Autenticación	`/api/v1/auth/refresh`	POST	V1
Autenticación	`/api/v1/auth/logout`	POST	V1
Autenticación	`/api/v1/auth/forgot-password`	POST	V1
Autenticación	`/api/v1/auth/reset-password`	POST	V1
Autenticación Social (Google)	`/api/v1/auth/oauth2/google/callback`	GET	V1
Autenticación Social (Google)	`/api/v1/auth/oauth2/google/link`	POST	V1

Los siguientes endpoints legacy se clasifican para V1.1:

Módulo	Endpoint	Método	Estado
Auth Social (Google - legacy)	`/api/v1/auth/google/exchange`	POST	V1.1
Auth Social (Google - legacy)	`/api/v1/auth/google/link`	POST	V1.1

Los siguientes enums son la referencia única para contratos de Registro/Auth:

Ningún documento de producto o matriz E2E puede introducir roles/estados fuera de este catálogo sin PR de contrato.
Todo ejemplo de login/register/verify debe incluir roles y account_status cuando aplique.
Todo ejemplo de emision de sesion debe reflejar el transporte vigente: cookies HttpOnly (accessToken, refreshToken) sin exponer tokens en body.
Los endpoints V1.1 no bloquean el inicio de implementación de V1.
Cualquier cambio de alcance V1 requiere actualización de este documento en el mismo PR de OpenAPI.