75e4ceed4c
checkSecurityToken guardaba expires_at pero NO lo comprobaba: un token caducado seguía siendo válido para regalos y servicios. Se comprueba en SQL (`expires_at > NOW()`) y no en JS, para que los dos lados de la comparación sean hora del servidor: expires_at se inserta como Date de JS y compararlo contra Date.now() dependería de que Node y MySQL tuvieran la misma zona. Además faltaban `errors.notAuthenticated` e `invalidRequest` en el namespace Store (ES y EN): si se caducaba la sesión, send-gift decía «Ha ocurrido un error» en vez de pedir que vuelvas a iniciar sesión — justo el mensaje que hace pensar que el botón sigue roto. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>