fix(security): audit RBAC complet v3.0 — rôles normalisés, lifecycle, changement mdp mobile

RBAC:
- HealthResource: @PermitAll
- RoleResource: @RolesAllowed ADMIN/SUPER_ADMIN/ADMIN_ORGANISATION class-level
- PropositionAideResource: @RolesAllowed MEMBRE/USER class-level
- AuthCallbackResource: @PermitAll
- EvenementResource: @PermitAll /publics et /test, count restreint
- BackupResource/LogsMonitoringResource/SystemResource: MODERATOR → MODERATEUR
- AnalyticsResource: MANAGER/MEMBER → ADMIN_ORGANISATION/MEMBRE
- RoleConstant.java: constantes de rôles centralisées

Cycle de vie membres:
- MemberLifecycleService: ajouterMembre()/retirerMembre() sur activation/radiation/archivage
- MembreResource: endpoint GET /numero/{numeroMembre}
- MembreService: méthode trouverParNumeroMembre()

Changement mot de passe:
- CompteAdherentResource: endpoint POST /auth/change-password (mobile)
- MembreKeycloakSyncService: changerMotDePasseDirectKeycloak() via API Admin Keycloak directe
- Fallback automatique si lions-user-manager indisponible

Workflow:
- Flyway V17-V23: rôles, types org, formules Option C, lifecycle columns, bareme cotisation
- Nouvelles classes: MemberLifecycleService, OrganisationModuleService, scheduler
- Security: OrganisationContextFilter, OrganisationContextHolder, ModuleAccessFilter

src/main/java/dev/lions/unionflow/server/resource/CompteAdherentResource.java

@@ -247,4 +247,55 @@ public class CompteAdherentResource {
         membreKeycloakSyncService.changerMotDePassePremierLogin(membreOpt.get().getId(), nouveauMotDePasse);
         return Response.ok(Map.of("message", "Mot de passe mis à jour avec succès.")).build();
     }
+
+    /**
+     * Endpoint mobile : changement de mot de passe depuis l'app Flutter.
+     * Bypass lions-user-manager — appel direct à l'API Admin Keycloak.
+     *
+     * <p>Body attendu : {@code { "userId": "...", "oldPassword": "...", "newPassword": "..." }}
+     */
+    @POST
+    @Path("/auth/change-password")
+    @Authenticated
+    @Operation(
+        summary     = "Changer le mot de passe (mobile)",
+        description = "Endpoint dédié à l'application mobile. Bypass lions-user-manager via API Admin Keycloak directe."
+    )
+    public Response changerMotDePasseMobile(Map<String, String> body) {
+        String email = securiteHelper.resolveEmail();
+        if (email == null || email.isBlank()) {
+            return Response.status(Response.Status.UNAUTHORIZED).build();
+        }
+
+        String newPassword = body == null ? null : body.get("newPassword");
+        if (newPassword == null || newPassword.isBlank()) {
+            return Response.status(Response.Status.BAD_REQUEST)
+                    .entity(Map.of("message", "Le champ 'newPassword' est requis."))
+                    .build();
+        }
+        if (newPassword.length() < 8) {
+            return Response.status(Response.Status.BAD_REQUEST)
+                    .entity(Map.of("message", "Le mot de passe doit contenir au moins 8 caractères."))
+                    .build();
+        }
+
+        Optional<Membre> membreOpt = membreRepository.findByEmail(email.trim())
+                .or(() -> membreRepository.findByEmail(email.trim().toLowerCase()));
+
+        if (membreOpt.isEmpty()) {
+            return Response.status(Response.Status.NOT_FOUND)
+                    .entity(Map.of("message", "Aucun membre trouvé pour ce compte."))
+                    .build();
+        }
+
+        try {
+            membreKeycloakSyncService.changerMotDePasseDirectKeycloak(membreOpt.get().getId(), newPassword);
+            return Response.ok(Map.of("message", "Mot de passe mis à jour avec succès.")).build();
+        } catch (Exception e) {
+            LOG.errorf(e, "Erreur changement mot de passe pour %s", email);
+            return Response.status(Response.Status.INTERNAL_SERVER_ERROR)
+                    .entity(Map.of("message", "Erreur lors du changement de mot de passe: " + e.getMessage()))
+                    .build();
+        }
+    }
 }