RBAC policy engine: RoleStore + GrantStore

## Что это Policy engine для проверки прав: role → grants → resource:action. Scopes: workspace / org / global. Org partial (Phase-2). ## Зачем История E02-S09 из roadmap-эпика E02. Безопасная мульти-тенантность — это разница между «локальный десктоп» и «продукт для команды». Без правильной auth-модели нельзя продавать B2B. **Что войдёт в первую версию:** - [ ] RoleStore CRUD - [ ] GrantStore CRUD + bulk-grant per role - [ ] Resolver O(1) через индексы - [ ] session.permittedWorkspaces читается через RoleStore - [ ] Revocation без перезагрузки сессии (read-through) ## Источники вдохновения - [steipete/better-auth](https://github.com/steipete/better-auth) - [agisota/senpi](https://github.com/agisota/senpi) - [wasp-lang/open-saas](https://github.com/wasp-lang/open-saas) ## 🔗 Linear - [PZD-409](https://linear.app/kuhjie/issue/PZD-409) — backing ticket