feat(tkuser): 협력업체 CRUD 권한을 permission 시스템으로 확장

tkuser.partners 권한이 부여된 일반 사용자도 업체/작업자 등록·수정·비활성화 가능.
완전삭제는 admin 전용 유지.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

user-management/api/middleware/auth.js

@@ -55,4 +55,25 @@ function requireAdmin(req, res, next) {
   }
 }
 
-module.exports = { extractToken, requireAuth, requireAdmin };
+/**
+ * 관리자 또는 특정 페이지 권한 보유자 미들웨어 팩토리
+ */
+function requireAdminOrPermission(pageName) {
+  return async (req, res, next) => {
+    const token = extractToken(req);
+    if (!token) return res.status(401).json({ success: false, error: '인증이 필요합니다' });
+    try {
+      const decoded = jwt.verify(token, JWT_SECRET);
+      req.user = decoded;
+      if (['admin', 'system'].includes((decoded.role || '').toLowerCase())) return next();
+      const { checkAccess } = require('../models/permissionModel');
+      const result = await checkAccess(decoded.user_id || decoded.id, pageName);
+      if (result.can_access) return next();
+      return res.status(403).json({ success: false, error: '권한이 없습니다' });
+    } catch {
+      return res.status(401).json({ success: false, error: '유효하지 않은 토큰입니다' });
+    }
+  };
+}
+
+module.exports = { extractToken, requireAuth, requireAdmin, requireAdminOrPermission };