fix(rbac) : rattache le rôle de base « user » et gate le frontend par permission

Un user avec des permissions sur le rôle RBAC « user » ne voyait rien : le
ROLE_USER legacy n'a aucun lien avec le RBAC et getEffectivePermissions() ne lit
que rbacRoles + permissions directes, alors qu'aucun user n'était rattaché au
rôle « user » (table user_role vide, jamais backfillée).

Backend
- DefaultUserRoleAssigner + UserDefaultRoleListener (prePersist) : tout nouvel
  utilisateur est rattaché au rôle « user » sur tous les chemins de persistance.
- Commande app:assign-default-roles (backfill idempotent) + ajout au deploy.sh.
- AppFixtures : seed des rôles système avant la création des users.

Frontend (gating par permission au lieu de ROLE_ADMIN legacy)
- Nouveau middleware « permission » + augmentation PageMeta : definePageMeta
  ({ permission }) (string = requise, array = any), ROLE_ADMIN bypasse.
- Pages directory/reporting/admin gatées par permission ; SidebarFilter accepte
  une liste de permissions (any) ; section admin sans gate de rôle.
- team-absences reste en ROLE_ADMIN (module Absence non RBAC-isé côté backend).

frontend/app/types/page-meta.d.ts

@@ -0,0 +1,16 @@
+// Augments Nuxt page meta with the RBAC permission gate consumed by the
+// `permission` route middleware. A string requires that single permission;
+// an array requires ANY of the listed permissions.
+declare module '#app' {
+    interface PageMeta {
+        permission?: string | string[]
+    }
+}
+
+declare module 'vue-router' {
+    interface RouteMeta {
+        permission?: string | string[]
+    }
+}
+
+export {}