fix(security): Q2 Chunk 2 — 多租户安全加固 + 限流 fail-closed

- auth_service::refresh() 添加 tenant_id 校验
- user_service get_by_id/update/delete/assign_roles 改为数据库级 tenant_id 过滤
- 限流中间件改为 fail-closed：Redis 不可达时返回 429 而非放行

crates/erp-auth/src/service/auth_service.rs

@@ -180,6 +180,17 @@ impl AuthService {
             .map_err(|e| AuthError::Validation(e.to_string()))?
             .ok_or(AuthError::TokenRevoked)?;
 
+        // 验证用户属于 JWT 中声明的租户
+        if user_model.tenant_id != claims.tid {
+            tracing::warn!(
+                user_id = %claims.sub,
+                jwt_tenant = %claims.tid,
+                actual_tenant = %user_model.tenant_id,
+                "Token tenant_id 与用户实际租户不匹配"
+            );
+            return Err(AuthError::TokenRevoked);
+        }
+
         let role_resps = Self::get_user_role_resps(claims.sub, claims.tid, db).await?;
         let user_resp = UserResp {
             id: user_model.id,