[done] token default audience を実装 PR #300 https://github.com/rail44/quacker/pull/300

@rail44.dev/kneume create_post の宛先省略 default を「g_public 固定」→「token の default_audience」に。explicit > token default > g_public で解決(reply は親継承のまま不変)。

- token に default_audience 列追加(ADD COLUMN IF NOT EXISTS、既存=NULL=g_public fallback)、issue/verify/list + /api/tokens に最小 mint field(membership 検証付き)。allowed_groups からは推論せず独立 axis。
- 宛先解決+暗号化強制を resolve_post_audience に集約。暗号化 default の seam: default が暗号化 group に解決され平文が来たら fail-closed で reject(公開漏れ footgun は塞がる/中身は漏れない)。シームレスな omit→auto-encrypt は gateway が token default を知る必要があり whoami(③ n_01KSZTY5AKN78YM09SASNH5DA2)待ち、本 PR は server fail-closed。full mint UX は ② n_01KSZTY2H28FJ。
- fmt/clippy clean、nextest workspace 495 passed(確認 4 シナリオ + fail-closed/reply/precedence/store round-trip+migration)。docs/design.md に節追加。

取り込み: PR review + merge → 起点 note n_01KSZTY0HSYTR5QNRWF0AEHCJB を done 化 → worktree/branch cleanup。