feat: 权限修复、搜索改进、滑动切换、通知badge

权限:
- viewer 不能编辑公共配方（前端+后端双重限制）
- viewer 管理配方页只显示"我的配方"
- 取消 token 链接登录，改为自注册+管理员分配角色
- 用户管理页去掉创建用户和复制链接，禁止设管理员
- 修复改权限 API 路径错误

搜索:
- 模糊匹配+同义词扩展（37组），精确/相似分层
- 精确匹配不搜精油成分（避免"西班牙牛至"污染）
- 所有搜索结果底部加"通知编辑添加"按钮

UI:
- 顶部 tab 栏按用户角色显示，切换时居中滚动
- 左右滑动按 visibleTabs 顺序切换 tab
- 用户名旁红色通知数 badge

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

frontend/src/stores/auth.js

@@ -28,16 +28,6 @@ export const useAuthStore = defineStore('auth', () => {
 
   // Actions
   async function initToken() {
-    const params = new URLSearchParams(window.location.search)
-    const urlToken = params.get('token')
-    if (urlToken) {
-      token.value = urlToken
-      localStorage.setItem('oil_auth_token', urlToken)
-      // Clean URL
-      const url = new URL(window.location)
-      url.searchParams.delete('token')
-      window.history.replaceState({}, '', url)
-    }
     if (token.value) {
       await loadMe()
     }
@@ -85,7 +75,7 @@ export const useAuthStore = defineStore('auth', () => {
 
   function canEditRecipe(recipe) {
     if (isAdmin.value || user.value.role === 'senior_editor') return true
-    if (recipe._owner_id === user.value.id) return true
+    if (canEdit.value && recipe._owner_id === user.value.id) return true
     return false
   }