feat(tkuser): requireAdmin → requireAdminOrPermission 전환 — 권한 기반 접근 제어

- 9개 라우트 파일의 쓰기 작업을 requireAdminOrPermission으로 전환
- 권한 관리에서 tkuser.* 권한 부여 시 일반 사용자도 해당 탭 접근 가능
- GET(참조 데이터)은 requireAuth 유지, permissionRoutes는 admin 전용 유지
- 기존 partnerRoutes.js 패턴과 동일한 방식 적용

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

user-management/api/routes/notificationRecipientRoutes.js

@@ -2,7 +2,7 @@
 const express = require('express');
 const router = express.Router();
 const controller = require('../controllers/notificationRecipientController');
-const { requireAuth, requireAdmin } = require('../middleware/auth');
+const { requireAuth, requireAdminOrPermission } = require('../middleware/auth');
 
 // 모든 라우트에 인증 필요
 router.use(requireAuth);
@@ -25,7 +25,7 @@ router.get('/:type', controller.getByType);
 router.post('/', controller.add);
 
 // 유형별 수신자 일괄 설정 (관리자만)
-router.put('/:type', requireAdmin, controller.setRecipients);
+router.put('/:type', requireAdminOrPermission('tkuser.notification_recipients'), controller.setRecipients);
 
 // 수신자 제거 (본인: 모든 사용자, 타인: 관리자만 — 컨트롤러에서 검증)
 router.delete('/:type/:userId', controller.remove);