Implementar serviço de login com e-mail/senha, geração e renovação de JWT (access 15min + refresh 7 dias), bloqueio por tentativas e senhas em bcrypt (cost factor ≥ 12).