feat: Add comprehensive sandbox mode, public API system, and platform support

This commit adds major features for sandbox isolation, public API access, and platform support ticketing.

## Sandbox Mode
- Add sandbox mode toggle for businesses to test features without affecting live data
- Implement schema-based isolation for tenant data (appointments, resources, services)
- Add is_sandbox field filtering for shared models (customers, staff, tickets)
- Create sandbox middleware to detect and set sandbox mode from cookies
- Add sandbox context and hooks for React frontend
- Display sandbox banner when in test mode
- Auto-reload page when switching between live/test modes
- Prevent platform support tickets from being created in sandbox mode

## Public API System
- Full REST API for external integrations with businesses
- API token management with sandbox/live token separation
- Test tokens (ss_test_*) show full plaintext for easy testing
- Live tokens (ss_live_*) are hashed and secure
- Security validation prevents live token plaintext storage
- Comprehensive test suite for token security
- Rate limiting and throttling per token
- Webhook support for real-time event notifications
- Scoped permissions system (read/write per resource type)
- API documentation page with interactive examples
- Token revocation with confirmation modal

## Platform Support
- Dedicated support page for businesses to contact SmoothSchedule
- View all platform support tickets in one place
- Create new support tickets with simplified interface
- Reply to existing tickets with conversation history
- Platform tickets have no admin controls (no priority/category/assignee/status)
- Internal notes hidden for platform tickets (business can't see them)
- Quick help section with links to guides and API docs
- Sandbox warning prevents ticket creation in test mode
- Business ticketing retains full admin controls (priority, assignment, internal notes)

## UI/UX Improvements
- Add notification dropdown with real-time updates
- Staff permissions UI for ticket access control
- Help dropdown in sidebar with Platform Guide, Ticketing Help, API Docs, and Support
- Update sidebar "Contact Support" to "Support" with message icon
- Fix navigation links to use React Router instead of anchor tags
- Remove unused language translations (Japanese, Portuguese, Chinese)

## Technical Details
- Sandbox middleware sets request.sandbox_mode from cookies
- ViewSets filter data by is_sandbox field
- API authentication via custom token auth class
- WebSocket support for real-time ticket updates
- Migration for sandbox fields on User, Tenant, and Ticket models
- Comprehensive documentation in SANDBOX_MODE_IMPLEMENTATION.md

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

frontend/src/i18n/locales/de.json

@@ -52,6 +52,7 @@
     "scheduler": "Terminplaner",
     "customers": "Kunden",
     "resources": "Ressourcen",
+    "services": "Dienstleistungen",
     "payments": "Zahlungen",
     "messages": "Nachrichten",
     "staff": "Personal",
@@ -61,7 +62,124 @@
     "businesses": "Unternehmen",
     "users": "Benutzer",
     "support": "Support",
-    "platformSettings": "Plattform-Einstellungen"
+    "platformSettings": "Plattform-Einstellungen",
+    "tickets": "Tickets",
+    "help": "Hilfe",
+    "platformGuide": "Plattform-Handbuch",
+    "ticketingHelp": "Ticket-System",
+    "apiDocs": "API-Dokumentation"
+  },
+  "help": {
+    "guide": {
+      "title": "Plattform-Handbuch",
+      "subtitle": "Lernen Sie, wie Sie SmoothSchedule effektiv nutzen",
+      "comingSoon": "Demnächst Verfügbar",
+      "comingSoonDesc": "Wir arbeiten an umfassender Dokumentation, um Ihnen zu helfen, das Beste aus SmoothSchedule herauszuholen. Schauen Sie bald wieder vorbei!"
+    },
+    "api": {
+      "title": "API-Referenz",
+      "interactiveExplorer": "Interaktiver Explorer",
+      "introduction": "Einführung",
+      "introDescription": "Die SmoothSchedule-API ist nach REST organisiert. Unsere API hat vorhersehbare ressourcenorientierte URLs, akzeptiert JSON-kodierte Anfragekörper, gibt JSON-kodierte Antworten zurück und verwendet standardmäßige HTTP-Antwortcodes.",
+      "introTestMode": "Sie können die SmoothSchedule-API im Testmodus verwenden, der Ihre Live-Daten nicht beeinflusst. Der verwendete API-Schlüssel bestimmt, ob die Anfrage im Test- oder Live-Modus ist.",
+      "baseUrl": "Basis-URL",
+      "baseUrlDescription": "Alle API-Anfragen sollten an folgende Adresse gesendet werden:",
+      "sandboxMode": "Sandbox-Modus:",
+      "sandboxModeDescription": "Verwenden Sie die Sandbox-URL für Entwicklung und Tests. Alle Beispiele in dieser Dokumentation verwenden Test-API-Schlüssel, die mit der Sandbox funktionieren.",
+      "authentication": "Authentifizierung",
+      "authDescription": "Die SmoothSchedule-API verwendet API-Schlüssel zur Authentifizierung von Anfragen. Sie können Ihre API-Schlüssel in Ihren Geschäftseinstellungen anzeigen und verwalten.",
+      "authBearer": "Die Authentifizierung bei der API erfolgt über Bearer-Token. Fügen Sie Ihren API-Schlüssel im Authorization-Header aller Anfragen ein.",
+      "authWarning": "Ihre API-Schlüssel haben viele Berechtigungen, stellen Sie also sicher, dass Sie sie sicher aufbewahren. Teilen Sie Ihre geheimen API-Schlüssel nicht in öffentlich zugänglichen Bereichen wie GitHub, clientseitigem Code usw.",
+      "apiKeyFormat": "API-Schlüssel-Format",
+      "testKey": "Test-/Sandbox-Modus-Schlüssel",
+      "liveKey": "Live-/Produktions-Modus-Schlüssel",
+      "authenticatedRequest": "Authentifizierte Anfrage",
+      "keepKeysSecret": "Halten Sie Ihre Schlüssel geheim!",
+      "keepKeysSecretDescription": "Geben Sie API-Schlüssel niemals in clientseitigem Code, Versionskontrolle oder öffentlichen Foren preis.",
+      "errors": "Fehler",
+      "errorsDescription": "SmoothSchedule verwendet konventionelle HTTP-Antwortcodes, um Erfolg oder Misserfolg einer API-Anfrage anzuzeigen.",
+      "httpStatusCodes": "HTTP-Statuscodes",
+      "errorResponse": "Fehlerantwort",
+      "statusOk": "Die Anfrage war erfolgreich.",
+      "statusCreated": "Eine neue Ressource wurde erstellt.",
+      "statusBadRequest": "Ungültige Anfrageparameter.",
+      "statusUnauthorized": "Ungültiger oder fehlender API-Schlüssel.",
+      "statusForbidden": "Der API-Schlüssel hat nicht die erforderlichen Berechtigungen.",
+      "statusNotFound": "Die angeforderte Ressource existiert nicht.",
+      "statusConflict": "Ressourcenkonflikt (z.B. Doppelbuchung).",
+      "statusTooManyRequests": "Ratenlimit überschritten.",
+      "statusServerError": "Auf unserer Seite ist etwas schief gelaufen.",
+      "rateLimits": "Ratenlimits",
+      "rateLimitsDescription": "Die API implementiert Ratenlimits, um faire Nutzung und Stabilität zu gewährleisten.",
+      "limits": "Limits",
+      "requestsPerHour": "Anfragen pro Stunde pro API-Schlüssel",
+      "requestsPerMinute": "Anfragen pro Minute Burst-Limit",
+      "rateLimitHeaders": "Ratenlimit-Header",
+      "rateLimitHeadersDescription": "Jede Antwort enthält Header mit Ihrem aktuellen Ratenlimit-Status.",
+      "business": "Unternehmen",
+      "businessObject": "Das Business-Objekt",
+      "businessObjectDescription": "Das Business-Objekt repräsentiert Ihre Geschäftskonfiguration und -einstellungen.",
+      "attributes": "Attribute",
+      "retrieveBusiness": "Unternehmen abrufen",
+      "retrieveBusinessDescription": "Ruft das mit Ihrem API-Schlüssel verknüpfte Unternehmen ab.",
+      "requiredScope": "Erforderlicher Bereich",
+      "services": "Dienstleistungen",
+      "serviceObject": "Das Service-Objekt",
+      "serviceObjectDescription": "Dienstleistungen repräsentieren die Angebote, die Ihr Unternehmen bereitstellt und die Kunden buchen können.",
+      "listServices": "Alle Dienstleistungen auflisten",
+      "listServicesDescription": "Gibt eine Liste aller aktiven Dienstleistungen Ihres Unternehmens zurück.",
+      "retrieveService": "Eine Dienstleistung abrufen",
+      "resources": "Ressourcen",
+      "resourceObject": "Das Resource-Objekt",
+      "resourceObjectDescription": "Ressourcen sind die buchbaren Einheiten in Ihrem Unternehmen (Mitarbeiter, Räume, Ausrüstung).",
+      "listResources": "Alle Ressourcen auflisten",
+      "retrieveResource": "Eine Ressource abrufen",
+      "availability": "Verfügbarkeit",
+      "checkAvailability": "Verfügbarkeit prüfen",
+      "checkAvailabilityDescription": "Gibt verfügbare Zeitfenster für einen bestimmten Service und Datumsbereich zurück.",
+      "parameters": "Parameter",
+      "appointments": "Termine",
+      "appointmentObject": "Das Appointment-Objekt",
+      "appointmentObjectDescription": "Termine repräsentieren geplante Buchungen zwischen Kunden und Ressourcen.",
+      "createAppointment": "Einen Termin erstellen",
+      "createAppointmentDescription": "Erstellt eine neue Terminbuchung.",
+      "retrieveAppointment": "Einen Termin abrufen",
+      "updateAppointment": "Einen Termin aktualisieren",
+      "cancelAppointment": "Einen Termin stornieren",
+      "listAppointments": "Alle Termine auflisten",
+      "customers": "Kunden",
+      "customerObject": "Das Customer-Objekt",
+      "customerObjectDescription": "Kunden sind die Personen, die Termine bei Ihrem Unternehmen buchen.",
+      "createCustomer": "Einen Kunden erstellen",
+      "retrieveCustomer": "Einen Kunden abrufen",
+      "updateCustomer": "Einen Kunden aktualisieren",
+      "listCustomers": "Alle Kunden auflisten",
+      "webhooks": "Webhooks",
+      "webhookEvents": "Webhook-Ereignisse",
+      "webhookEventsDescription": "Webhooks ermöglichen es Ihnen, Echtzeit-Benachrichtigungen zu erhalten, wenn Ereignisse in Ihrem Unternehmen auftreten.",
+      "eventTypes": "Ereignistypen",
+      "webhookPayload": "Webhook-Payload",
+      "createWebhook": "Einen Webhook erstellen",
+      "createWebhookDescription": "Erstellt ein neues Webhook-Abonnement. Die Antwort enthält ein Geheimnis, das Sie zur Verifizierung von Webhook-Signaturen verwenden.",
+      "secretOnlyOnce": "Das Geheimnis wird nur einmal angezeigt",
+      "secretOnlyOnceDescription": ", bewahren Sie es also sicher auf.",
+      "listWebhooks": "Webhooks auflisten",
+      "deleteWebhook": "Einen Webhook löschen",
+      "verifySignatures": "Signaturen verifizieren",
+      "verifySignaturesDescription": "Jede Webhook-Anfrage enthält eine Signatur im X-Webhook-Signature-Header. Sie sollten diese Signatur verifizieren, um sicherzustellen, dass die Anfrage von SmoothSchedule stammt.",
+      "signatureFormat": "Signaturformat",
+      "signatureFormatDescription": "Der Signatur-Header enthält zwei durch einen Punkt getrennte Werte: einen Zeitstempel und die HMAC-SHA256-Signatur.",
+      "verificationSteps": "Verifizierungsschritte",
+      "verificationStep1": "Zeitstempel und Signatur aus dem Header extrahieren",
+      "verificationStep2": "Zeitstempel, einen Punkt und den rohen Anfragekörper verketten",
+      "verificationStep3": "HMAC-SHA256 mit Ihrem Webhook-Geheimnis berechnen",
+      "verificationStep4": "Die berechnete Signatur mit der empfangenen Signatur vergleichen",
+      "saveYourSecret": "Bewahren Sie Ihr Geheimnis auf!",
+      "saveYourSecretDescription": "Das Webhook-Geheimnis wird nur einmal zurückgegeben, wenn der Webhook erstellt wird. Bewahren Sie es sicher für die Signaturverifizierung auf.",
+      "endpoint": "Endpunkt",
+      "request": "Anfrage",
+      "response": "Antwort"
+    }
   },
   "dashboard": {
     "title": "Dashboard",