fix: マジックリンクトークンが既存セッション返却時に消費されない問題を修正

既存セッションを返す場合でもusedAtを設定し、トークンのワンタイム性を保証する。

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

Author: yn1323

convex/staffAuth/mutations.ts

@@ -38,7 +38,7 @@ export const verifyToken = mutation({
       };
     }
 
-    // 既存の有効なセッションがあればそれを返す（usedAtは設定しない）
+    // 既存の有効なセッションがあればそれを返す
     const existingSessions = await ctx.db
       .query("sessions")
       .withIndex("by_staffId_recruitmentId", (q) =>
@@ -49,6 +49,7 @@ export const verifyToken = mutation({
     const validSession = existingSessions.find((s) => s.expiresAt > Date.now());
 
     if (validSession) {
+      await ctx.db.patch(magicLink._id, { usedAt: Date.now() });
       return {
         status: "ok" as const,
         sessionToken: validSession.sessionToken,