= NETIntel – СЦ5: Генерирање Env Token (без класичен login)

== Опис
Најавен администратор (tenant admin) генерира временски валиден token за избран environment во рамки на својот tenant.
Клиентските агенти го користат token-от во HTTP header `X-Env-Token` при испраќање податоци кон серверот.

== Актери
* Администратор (корисник најавен преку Google OAuth)

== Предуслови
* Валидна корисничка сесија (JWT `session` cookie добиен преку Google OAuth).
* Корисникот има улога `admin` во својот tenant.
* Постојно environment поврзано со истиот tenant.

== Главен тек
1. Администраторот е најавен во системот (Google OAuth).
2. Клиентскиот интерфејс праќа барање `POST /api/admin/tokens` со параметар `env`.
3. Серверот го чита `tenant_id` од корисничката сесија (JWT).
4. Серверот проверува дали environment постои и припаѓа на истиот tenant.
5. Серверот генерира временски валиден token.
6. Token-от се зачувува во табелата `env_tokens` заедно со `env_name`, `tenant_id` и `expires_at`.
7. Генерираниот token се враќа како одговор.
8. Клиентските агенти го користат token-от во header `X-Env-Token` при повик кон `/receive`.

== Табели
* users
* tenants
* memberships
* environments
* env_tokens