fix : gardes session OIDC + règle PHP-FPM www-data (v1.6.2)

- oidc/start.php : arrêt immédiat (500) si session_start() échoue, évite
  un flux OIDC condamné à l'échec silencieux (ex. session.save_path absent)
- oidc/callback.php : même garde + error_log sur échec du contrôle de state
  pour faciliter le diagnostic (STATE absent/présent + session_id)
- consignes.md : règle PHP-FPM — toujours user=www-data, pas le compte admin

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

public/oidc/start.php

@@ -9,6 +9,13 @@ require_once dirname(__DIR__, 2) . '/vendor/autoload.php';
 require_once dirname(__DIR__, 2) . '/config/config.php';
 require_once dirname(__DIR__, 2) . '/bootstrap.php';
 
+if (session_status() !== PHP_SESSION_ACTIVE) {
+    error_log('[OIDC/start] session_start() a échoué — vérifier session.save_path');
+    http_response_code(500);
+    echo 'Erreur de session. Contactez l\'administrateur.';
+    exit;
+}
+
 if (!function_exists('env')) {
     function env(string $key, ?string $default = null): ?string
     {