WorkOS 移行後の team pages と actions を安定化しました

WorkOS/AuthKit 移行後に、team workspace の一部画面が Supabase JWT / RLS 前提のまま残っていました。これにより、production の team settings、members、billing で PGRST301 系のエラーが出る可能性がありました。

主な更新

• team settings、members、billing の server reads を、service role + explicit membership / permission check に変更しました
• billing checkout / portal action は、permission、customer、provider config、seat count を明示的に検証するようにしました
• invitation delete / role update / renew / accept を admin client 経由に寄せました
• member remove / role update / ownership transfer を WorkOS session 前提の明示的チェックへ変更しました
• team image upload と roles provider も、client-side Supabase read/write に依存しない形へ寄せました

体験の変化

team workspace は、認証 identity と Supabase RLS の暗黙一致に頼らず、アプリ側で membership と permission を確認してから操作します。WorkOS session でログインしているユーザーでも、settings / members / billing の読み書きが team scope と合うようになりました。

確認済み

• pnpm typecheck
• pnpm lint:fix
• pnpm format:fix
• pnpm run docs:qa
• pnpm --filter @kit/team-accounts typecheck
• git diff --check

残っている確認は、production deploy 後のログイン済み smoke と Vercel error log 確認です。