/// Schnittstelle, über die HTTP-Interceptors einen aktuellen
/// Access-Token beziehen. Phase A liefert das eine simple
/// Password-Grant-Implementation; Phase B (Keycloak OIDC mit
/// flutter_appauth) ersetzt sie durch eine echte PKCE-/Refresh-fähige.
abstract interface class AuthTokenProvider {
  /// Liefert einen aktuell gültigen Access-Token oder `null`, wenn
  /// keine Session aktiv ist. Darf bei Bedarf einen Refresh anstoßen.
  Future<String?> currentAccessToken();
}