session.permittedWorkspaces + read-through revocation
## Что это
Resolver session.permittedWorkspaces должен читаться через RoleStore
каждый раз (read-through), чтобы revocation работала без перезагрузки.
## Критерии приёмки
- [ ] No cache > 5 секунд
- [ ] Revoke grant → следующий запрос видит изменение
- [ ] Audit emit на permission denial
## Зачем
История E02-S11 из roadmap-эпика E02. Безопасная мульти-тенантность — это разница между «локальный десктоп» и «продукт для команды». Без правильной auth-модели нельзя продавать B2B.
**Что войдёт в первую версию:**
- [ ] No cache > 5 секунд
- [ ] Revoke grant → следующий запрос видит изменение
- [ ] Audit emit на permission denial
## Источники вдохновения
- [tailscale/hallpass](https://github.com/tailscale/hallpass)
- [steipete/better-auth](https://github.com/steipete/better-auth)
- [agisota/senpi](https://github.com/agisota/senpi)
## 🔗 Linear
- [PZD-407](https://linear.app/kuhjie/issue/PZD-407) — backing ticket
Please authenticate to join the conversation.
Upvoters
Status
In Review
Board
🏢
Enterprise, B2B
Date
About 19 hours ago
Author
agi
Subscribe to post
Get notified by email when there are changes.
Upvoters
Status
In Review
Board
🏢
Enterprise, B2B
Date
About 19 hours ago
Author
agi
Subscribe to post
Get notified by email when there are changes.