fix(security): restrict service uploads to provider namespace (3B.3)

[cola500]

Summary

Sprint 3-B slice 3B.3 — Stäng ownership-gap för `services`-bucket i `/api/upload`. Tidigare kunde vilken inloggad användare som helst (inkl. customers) ladda upp filer till godtycklig provider's services-namespace.

Security invariant

För `bucket: services`: `entityId` MÅSTE matcha `session.user.providerId` exakt.

• UUID-validering: arvad via C3 Fix C (rejected 400 om non-UUID)
• Provider laddar upp till annan providers UUID → 403 "Åtkomst nekad"
• Customer-session (saknar `providerId`) → 403 "Åtkomst nekad"
• Provider laddar upp till eget providerId → 201 (happy path bevarad)
• Traversal-safe filnamn arvad via C3 Fix A+B

Test plan

• 3 nya regression-tester (T6: främmande UUID, T7: egen providerId, T8: customer session)
• RED→GREEN bevarat: 2/3 nya tester fail före implementation
• 19/19 vitest gröna efter
• typecheck pass
• lint pass (touched files)
• Pre-push gates 4/4 gröna

Out of scope

• Ingen `Service.imageUrl`-auto-koppling (Option A enligt produktbeslut)
• Ingen DB-cross-reference för providerId-check (använder JWT-claim direkt, konsistent med övriga routes som `route-orders/available`)
• Pre-existing `deleteMessageAttachment`-lint-warning oförändrad

[vercel]

The latest updates on your projects. Learn more about Vercel for GitHub.

1 Skipped Deployment

Project	Deployment	Actions	Updated (UTC)
equinet-staging-app	Ignored		May 18, 2026 6:17pm