feat(auth): 能源管理模块需要 BI-LEADER-ENERGY 角色

- 新增 ENERGY_ACCESS_ROLES 与 canAccessEnergy(roles) 守卫（全量权限角色亦可访问）
- 后端 /api/energy/* 加模块级守卫：无角色返回 403
- 前端 App.tsx 按角色动态注入 EnergyModule，无权限时主导航不显示
- dev mock 用户（前端 + 后端）追加 BI-LEADER-ENERGY 便于本地调试

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

src/server/routes/energy/index.ts

@@ -2,9 +2,21 @@ import { Hono } from 'hono';
 import type { RowDataPacket } from 'mysql2';
 import pool from '../../db.js';
 import { cached } from './cache.js';
+import type { AuthUser } from '../../auth/types.js';
+import { canAccessEnergy } from '../../auth/types.js';
 
 const app = new Hono();
 
+// 模块级访问守卫：dev 旁路 auth 时 user 为 undefined，直接放行；
+// 生产环境必须具备 BI-LEADER-ENERGY 或全量权限角色
+app.use('*', async (c, next) => {
+  const user = (c as { get: (k: string) => unknown }).get('user') as AuthUser | undefined;
+  if (user && !canAccessEnergy(user.roles)) {
+    return c.json({ error: 'Forbidden: 能源管理访问需要 BI-LEADER-ENERGY 角色' }, 403);
+  }
+  return next();
+});
+
 const HYDROGEN_MIN_DATE = '2024-01-01';
 
 // hydrogen_time 已是 CST 字面值，直接使用即可（不再 +8 小时）