fix : gardes session OIDC + règle PHP-FPM www-data (v1.6.2)

- oidc/start.php : arrêt immédiat (500) si session_start() échoue, évite
  un flux OIDC condamné à l'échec silencieux (ex. session.save_path absent)
- oidc/callback.php : même garde + error_log sur échec du contrôle de state
  pour faciliter le diagnostic (STATE absent/présent + session_id)
- consignes.md : règle PHP-FPM — toujours user=www-data, pas le compte admin

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

public/oidc/callback.php

@@ -39,7 +39,15 @@ if (!$OIDC_ISSUER || !$OIDC_CLIENT_ID || !$OIDC_REDIRECT_URI) {
 $tokenEndpoint    = $OIDC_ISSUER . '/protocol/openid-connect/token';
 $userInfoEndpoint = $OIDC_ISSUER . '/protocol/openid-connect/userinfo';
 
+if (session_status() !== PHP_SESSION_ACTIVE) {
+    error_log('[OIDC/callback] session_start() a échoué — vérifier session.save_path');
+    http_response_code(500);
+    echo $debug ? 'Erreur de session (session.save_path inaccessible ?).' : 'Erreur interne.';
+    exit;
+}
+
 if (!isset($_GET['state'], $_SESSION['oidc_state']) || !hash_equals((string)$_SESSION['oidc_state'], (string)$_GET['state'])) {
+    error_log('[OIDC/callback] State invalide — GET:' . ($_GET['state'] ?? 'absent') . ' SESSION:' . (isset($_SESSION['oidc_state']) ? 'présent' : 'absent') . ' session_id:' . session_id());
     http_response_code(400);
     echo $debug ? 'State invalide.' : 'Requête invalide.';
     exit;

public/oidc/start.php

@@ -9,6 +9,13 @@ require_once dirname(__DIR__, 2) . '/vendor/autoload.php';
 require_once dirname(__DIR__, 2) . '/config/config.php';
 require_once dirname(__DIR__, 2) . '/bootstrap.php';
 
+if (session_status() !== PHP_SESSION_ACTIVE) {
+    error_log('[OIDC/start] session_start() a échoué — vérifier session.save_path');
+    http_response_code(500);
+    echo 'Erreur de session. Contactez l\'administrateur.';
+    exit;
+}
+
 if (!function_exists('env')) {
     function env(string $key, ?string $default = null): ?string
     {

public/version.txt

@@ -1 +1 @@
-1.6.1
+1.6.2