init: M1 scaffolding + M2 organization/clients/services CRUD

- monorepo (npm workspaces): apps/api (Fastify+Prisma+TS), apps/web (Vite+React+TS), packages/shared (zod schemas)
- SSO via auth.queo.ru: jose+JWKS plugin, requireDocPermission(viewer|user|admin)
- DEV_BYPASS_AUTH for local development (hard-checked off in production)
- M2: organization upsert, clients CRUD with search, services catalog with soft-delete
- BigInt -> Number serializer for Prisma money columns
- Embedded Postgres + npm run dev:demo for one-command local boot
- Docker compose for queoserver: postgres + api + web (nginx as ingress proxying /api -> api:3030)
- First migration 0_init committed (prisma migrate diff)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

docker/Dockerfile.api

@@ -0,0 +1,31 @@
+FROM node:20-alpine
+WORKDIR /app
+RUN apk add --no-cache openssl tini
+
+# Корневой манифест для npm workspaces
+COPY package.json package-lock.json* tsconfig.base.json ./
+
+# Манифесты воркспейсов
+COPY apps/api/package.json apps/api/
+COPY packages/shared/package.json packages/shared/
+
+# Все зависимости (включая dev — нужен tsx и prisma CLI). Образ на api ~250MB,
+# приемлемо для small-scale деплоя; оптимизируем многоэтапной сборкой когда понадобится.
+RUN npm install --include=dev
+
+# Исходники
+COPY apps/api ./apps/api
+COPY packages/shared ./packages/shared
+
+# Prisma client (без коннекта к БД)
+RUN cd apps/api && npx prisma generate
+
+ENV NODE_ENV=production
+WORKDIR /app/apps/api
+EXPOSE 3030
+
+ENTRYPOINT ["/sbin/tini", "--"]
+# `prisma migrate deploy` накатывает все миграции из prisma/migrations.
+# При первом деплое (миграций ещё нет) выполнит `db push` — но db push в проде
+# опасен; на продакшен-этапе всегда коммитим миграции в репо через `prisma migrate dev`.
+CMD ["sh", "-c", "npx prisma migrate deploy && npx tsx src/server.ts"]