重构数据权限模型并清理旧RBAC代码

核心变更：
- 数据权限过滤从基于账号层级改为基于用户类型的多策略过滤
- 移除 AccountStore 中的 GetSubordinateIDs 等旧方法
- 重构认证中间件，支持 enterprise_id 和 customer_id
- 更新 GORM Callback，根据用户类型自动选择过滤策略（代理/企业/个人客户）
- 更新所有集成测试以适配新的 API 签名
- 添加功能总结文档和 OpenSpec 归档

Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

pkg/response/response_test.go

@@ -71,9 +71,10 @@ func TestSuccess(t *testing.T) {
 				t.Errorf("Expected status code 200, got %d", resp.StatusCode)
 			}
 
-			// 验证响应头
-			if resp.Header.Get("Content-Type") != "application/json" {
-				t.Errorf("Expected Content-Type application/json, got %s", resp.Header.Get("Content-Type"))
+			// 验证响应头（Fiber 会自动添加 charset=utf-8）
+			contentType := resp.Header.Get("Content-Type")
+			if contentType != "application/json" && contentType != "application/json; charset=utf-8" {
+				t.Errorf("Expected Content-Type application/json or application/json; charset=utf-8, got %s", contentType)
 			}
 
 			// 解析响应体