fix: PDF-Passkey-Datum i18n und Challenge erst nach Verify löschen

Passkey-Signaturen im PDF nutzen die App-Sprache für Datumsformatierung.
Signing-Challenge bleibt bei fehlgeschlagener WebAuthn-Verifikation retry-fähig.

Co-authored-by: Cursor <cursoragent@cursor.com>

server/src/routes/sign.ts

@@ -204,8 +204,6 @@ router.post('/verify', async (req: any, res) => {
       return res.status(400).json({ error: 'Signing context mismatch' })
     }
 
-    signingChallenges.delete(challenge)
-
     const access = await getLogbookWithAccess(logbookId, req.userId)
     if (!access) {
       return res.status(403).json({ error: 'Forbidden: Access denied' })
@@ -250,6 +248,8 @@ router.post('/verify', async (req: any, res) => {
       return res.status(400).json({ error: 'Signature verification failed' })
     }
 
+    signingChallenges.delete(challenge)
+
     await prisma.credential.update({
       where: { id: dbCred.id },
       data: { counter: BigInt(verification.authenticationInfo.newCounter) }