fix(security): закрыть IDOR курсов/уроков/назначений/раздачи (Спринт1 #1)

- courses: requireOwnership(created_by) на PUT/DELETE/duplicate/publish-all
  и все мутации секций — учитель больше не может править/удалять чужой курс.
- lessonController.create: проверка владения курсом перед вставкой урока.
- assign/unassign курса классу: проверка владения классом (_ownsClass).
- materials.share по userId: получатель должен быть учеником учителя
  (класс или teacher_students), иначе 403.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

backend/src/controllers/courseController.js

@@ -479,10 +479,18 @@ function listClassCourses(req, res) {
   res.json(rows.map(r => ({ ...courseRow(r), deadline: r.deadline })));
 }
 
+// Учитель управляет назначениями только своих классов (админ — любых).
+function _ownsClass(req, classId) {
+  if (req.user.role === 'admin') return true;
+  const cls = db.prepare('SELECT teacher_id FROM classes WHERE id = ?').get(classId);
+  return !!cls && cls.teacher_id === req.user.id;
+}
+
 function assignCourseToClass(req, res) {
   const { classId } = req.params;
   const { courseId, deadline } = req.body;
   if (!courseId) return res.status(400).json({ error: 'courseId required' });
+  if (!_ownsClass(req, classId)) return res.status(403).json({ error: 'Нет доступа к классу' });
   try {
     db.prepare(`
       INSERT INTO class_courses (class_id, course_id, deadline, assigned_by)
@@ -494,6 +502,7 @@ function assignCourseToClass(req, res) {
 }
 
 function unassignCourseFromClass(req, res) {
+  if (!_ownsClass(req, req.params.classId)) return res.status(403).json({ error: 'Нет доступа к классу' });
   db.prepare('DELETE FROM class_courses WHERE class_id = ? AND course_id = ?').run(req.params.classId, req.params.courseId);
   res.json({ ok: true });
 }