fix : gardes session OIDC + règle PHP-FPM www-data (v1.6.2)

- oidc/start.php : arrêt immédiat (500) si session_start() échoue, évite
  un flux OIDC condamné à l'échec silencieux (ex. session.save_path absent)
- oidc/callback.php : même garde + error_log sur échec du contrôle de state
  pour faciliter le diagnostic (STATE absent/présent + session_id)
- consignes.md : règle PHP-FPM — toujours user=www-data, pas le compte admin

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

consignes.md

@@ -90,8 +90,8 @@ Chemin serveur : `varlog:/var/www/lan.acegrp.varlog/`
 
 ```bash
 cp /var/www/lan.acegrp.abonnel-www/.env /tmp/.env.bak
-rm -rf /var/www/lan.acegrp.abonnel-www
-git clone --depth=1 https://cedricAbonnel:TOKEN@git.abonnel.fr/cedricAbonnel/folio.git /var/www/lan.acegrp.abonnel-www
+sudo rm -rf /var/www/lan.acegrp.abonnel-www
+git clone --depth=1 https://git.abonnel.fr/cedricAbonnel/folio.git /var/www/lan.acegrp.abonnel-www
 cp /tmp/.env.bak /var/www/lan.acegrp.abonnel-www/.env
 cd /var/www/lan.acegrp.abonnel-www && composer install --no-dev --optimize-autoloader
 php database/migrate.php
@@ -106,3 +106,4 @@ git -C /var/www/lan.acegrp.abonnel-www config user.name 'Cédrix'
 - Ne **jamais** écraser le `.env` serveur (ni scp, ni réécriture). Indiquer les variables à l'utilisateur pour qu'il les saisisse lui-même.
 - Ne **jamais** versionner `data/`, `.env`, ou `vendor/` dans le dépôt folio.
 - Toujours bumper la version **et** mettre à jour le changelog dans le même commit que la PR.
+- Dans les pools PHP-FPM, toujours utiliser `user = www-data` / `group = www-data`. `cedrix` est un admin ordinaire, pas un compte de service.