feat(xion) + ADR-0004: ControllerBase に unauthorizedRedirect() hook を追加する (#278)

[hideyukiMORI]

Summary

• `ControllerBase::sessionCheck()` は `final` のまま、unauth HTML page の redirect 先決定を新規 `protected function unauthorizedRedirect(): string` に抽出。default は `LOGOUT_URI`。
• subclass で hook 1 つを override すれば controller ごとに redirect URI を変えられる (例: `AdminPanelController` → `/admin/login`)。
• ADR-0004 で「dispatch invariant は維持しつつ、redirect 先のみ open する」決定を記録。代替案 (`final` 除去) は明示的に reject。
• 既存挙動は完全に不変 (`unauthorizedRedirect()` の default が `LOGOUT_URI` を返すので)。
• FT5 finding F-3 への対応 (closes design(xion): ControllerBase::sessionCheck() の controller-level override hook を追加する (F-3 from FT5) #278)。

Test plan

• 既存 `composer test` 通る想定 (sessionCheck の挙動は LOGOUT_URI 経由で同じ)
• subclass で `unauthorizedRedirect()` を override すれば任意の URI を返せる (PR 内コード review で確認)
• PR feat(ini): LOGOUT_URI を NENE_LOGOUT_URI で env override 可能にする (#277) #284 (LOGOUT_URI env override) と組み合わせれば 「global default は env で、controller ごとは hook で」の 2 段カスタマイズが可能
• CI green で merge

🤖 Generated with Claude Code