feat(access): Фаза 0 — целостность правил доступа + подтверждение массового закрытия

- contentAccess.purgeAccessFor(scope,id) — единая точка очистки content_access
  (нет FK). deleteClass и _deleteUserTx переведены на неё (убрано дублирование).
- Админ-UI: confirm() перед «Закрыть у всех / Закрыть весь» (необратимая массовая
  операция больше не срабатывает мгновенно).
- Новый тест content-access.test.js (9/9): allowlist, ученик>класс, наследование
  главой хаба, admin/teacher bypass, allowedRefs/filterTextbooks, purgeAccessFor,
  чистка правил при DELETE класса. Полный backend-набор: 203/206 (3 — baseline Auth).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

backend/src/controllers/adminController.js

@@ -1,6 +1,7 @@
 const db = require('../db/db');
 const { stripTags } = require('../utils/sanitize');
 const { audit } = require('../utils/audit');
+const { purgeAccessFor } = require('../services/contentAccess');
 
 /* ── Prepared statements ──────────────────────────────────────────────── */
 const stmts = {
@@ -480,8 +481,8 @@ const _deleteUserTx = db.transaction((uid) => {
   // The rest cascades via ON DELETE CASCADE, but explicitly clean large tables:
   db.prepare('DELETE FROM notifications WHERE user_id = ?').run(uid);
   db.prepare('DELETE FROM test_sessions WHERE user_id = ?').run(uid);
-  // Персональные правила доступа к контенту (нет FK — чистим вручную):
-  db.prepare("DELETE FROM content_access WHERE scope = 'student' AND target_id = ?").run(uid);
+  // Персональные правила доступа к контенту (нет FK — единая чистка):
+  purgeAccessFor('student', uid);
   db.prepare('DELETE FROM users WHERE id = ?').run(uid);
 });