feat: add refresh token rotation flow

server-rs/crates/api-server/README.md

@@ -31,6 +31,7 @@
 9. 接入 `POST /api/auth/entry` 首版密码登录链路
 10. 接入 `POST /api/assets/direct-upload-tickets` 直传票据接口
 11. 接入 `GET /api/auth/me` 当前用户查询链路
+12. 接入 `POST /api/auth/refresh` refresh token 轮换链路
 
 后续与本 crate 直接相关的任务包括：
 
@@ -42,6 +43,7 @@
 6. [x] 接入 `/api/auth/entry`
 7. [x] 接入 `/api/assets/direct-upload-tickets`
 8. [x] 接入 `/api/auth/me`
+9. [x] 接入 `/api/auth/refresh`
 
 当前 tracing 约定：
 
@@ -102,3 +104,4 @@
 4. 不把领域规则直接堆在 handler 中。
 5. 当前密码登录由 `module-auth` 负责用例编排，`api-server` 只负责请求解析、JWT 签发与 refresh cookie 写回。
 6. 当前 `/api/auth/me` 复用现有 Bearer JWT 中间件与 `module-auth` 用户快照查询，不直接绕过模块边界读取内部状态。
+7. 当前 `/api/auth/refresh` 复用 `module-auth` 的 refresh session 轮换能力，`api-server` 负责 refresh cookie 读取、失败清理与 access token 重签。