fix: 2.0.23 — OAuth backup-login URL 改用 Windsurf 2.0.67 editor 真实模板

v2.0.22 用了裸 https://windsurf.com/show-auth-token。codex 从真实
Windsurf editor 2.0.67 binary 提取出 editor 自己用的 backup-login URL
模板（getLoginUrl({forceShowAuthToken:true}) + provideAuthToken 命令）：

  https://windsurf.com/windsurf/signin?response_type=token&
    client_id=3GUryQ7ldAeKEuD2obYnppsnmj58eP5u&
    redirect_uri=show-auth-token&state=<random>&
    prompt=login&redirect_parameters_type=query&workflow=

完整 URL 优势：
- 显式 response_type=token（要 token 不要 cookie）
- 携带 editor canonical client_id（公开值）
- 随机 state（CSRF）
- 跳过 /show-auth-token 的 auth-bounce

新方法 App.openWindsurfTokenUrl(inputId)：构造 URL + window.open + 自动 focus token 输入框。
i18n / addAccountFromInlineToken / 面板布局 100% 与 v2.0.22 一致。

证据：tmp/windsurf-2.0.67/Windsurf/resources/app/extensions/windsurf/dist/extension.js
+ codex 完整调查 tmp/codex-oauth-investigation-2026-04-29.md

附调查结论：Windsurf 上游无 OAuth Device Flow，backup-login URL 是
universally-working 唯一路径。

测试 283/283 pass（无后端改动）。