f4e7fe37b1
Adiciona requireCapability(cap) — espelha o isViewAllowed do frontend (superadmin global; dono donoclinica/donoconsultorio/admin; cargo com permissoes explícitas da funcao; senão mapa padrão por papel) — e aplica APÓS o tenantGuard em 22 rotas: - financeiro: GET/POST/PUT/DELETE + relatorio (cap 'financeiro') - glosas: listar/itens/recebiveis/criar/recorrer/recuperar/excluir (cap 'glosas') - comissoes: regras GET/PUT/DELETE + relatorio (cap 'comissoes') - repasses: fechar/listar/detalhe/pagar/cancelar/comprovante (cap 'comissoes') /repasses/comprovante/:id/raw fica de fora (URL assinada, sem tenantGuard). Antes: bastava ter vínculo (tenantGuard) p/ chamar a API — UI escondia, backend não. Validado em DEV: dono 200; dentista 403; outra clínica 403 (isolamento intacto). Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>