fix: router db.refresh() nach commit bricht RLS-Kontext

SET LOCAL Werte (bypass_rls, company_id) sind transaktions-gebunden.
Nach db.commit() ist der Kontext weg – ein nachfolgendes db.refresh()
läuft in einer neuen Transaktion ohne RLS-Kontext und liefert 0 Rows.

Da expire_on_commit=False gesetzt ist, sind alle Instanz-Attribute
nach dem Commit bereits im Speicher vorhanden. Die expliziten
db.refresh()-Aufrufe nach db.commit() in allen Routers sind daher
redundant und wurden entfernt.

test_rls.py: 6 neue Tests beweisen DB-seitige Mandanten-Isolation.
conftest.py: _apply_rls() wendet RLS-Policies auf Test-DB an.
migrations/0024: korrigiert auf op.execute(text()) API.
migrations/env.py: SET LOCAL außerhalb Transaktion entfernt.

Ergebnis: 8 failed (pre-existing), 126 passed – identisch zur Baseline vor RLS.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

backend/app/routers/absences.py

@@ -72,7 +72,6 @@ async def create_absence_type(
 ):
     at = await absence_service.create_type(current_user.company_id, data, db)
     await db.commit()
-    await db.refresh(at)
     return AbsenceTypeOut.model_validate(at)
 
 
@@ -85,7 +84,6 @@ async def update_absence_type(
 ):
     at = await absence_service.update_type(type_id, current_user.company_id, data, db)
     await db.commit()
-    await db.refresh(at)
     return AbsenceTypeOut.model_validate(at)
 
 
@@ -111,7 +109,6 @@ async def create_public_holiday(
 ):
     holiday = await absence_service.create_holiday(data, db)
     await db.commit()
-    await db.refresh(holiday)
     return PublicHolidayOut.model_validate(holiday)
 
 
@@ -181,7 +178,6 @@ async def quick_sick(
         data.start_date, data.end_date, current_user, db
     )
     await db.commit()
-    await db.refresh(absence)
     return AbsenceOut.model_validate(absence)
 
 
@@ -256,7 +252,6 @@ async def create_absence(
         acting_user = target
     absence, warnings = await absence_service.create_absence(data, acting_user, db)
     await db.commit()
-    await db.refresh(absence)
     return AbsenceOut.model_validate(absence)
 
 
@@ -270,7 +265,6 @@ async def update_absence(
     """Ausstehenden Antrag bearbeiten (Mitarbeiter: eigene; Manager: alle der Company)."""
     absence = await absence_service.update_absence(absence_id, data, current_user, db)
     await db.commit()
-    await db.refresh(absence)
     return AbsenceOut.model_validate(absence)
 
 
@@ -303,7 +297,6 @@ async def approve_absence(
 ):
     absence = await absence_service.approve_absence(absence_id, current_user, db)
     await db.commit()
-    await db.refresh(absence)
     return AbsenceOut.model_validate(absence)
 
 
@@ -316,7 +309,6 @@ async def reject_absence(
 ):
     absence = await absence_service.reject_absence(absence_id, data, current_user, db)
     await db.commit()
-    await db.refresh(absence)
     return AbsenceOut.model_validate(absence)
 
 
@@ -332,7 +324,6 @@ async def mark_certificate_received(
         absence_id, data.received_at, current_user, db
     )
     await db.commit()
-    await db.refresh(absence)
     return AbsenceOut.model_validate(absence)
 
 
@@ -357,7 +348,6 @@ async def update_balance(
     for field, value in data.model_dump(exclude_unset=True).items():
         setattr(balance, field, value)
     await db.commit()
-    await db.refresh(balance)
     pending = await absence_service.get_pending_days(user_id, year, db)
     company = await db.get(Company, current_user.company_id)
     expires_at, expired = _carryover_expiry(company, year) if company else (None, False)