-- Row-Level-Security für öffentliche Reads auf employees
-- Die App benutzt den anon-Key für öffentliche /[slug]- und /api/vcard-Routes.
-- Der service_role-Key (Admin-Pfade) umgeht RLS automatisch.

alter table public.employees enable row level security;

drop policy if exists "public_read_active_employees" on public.employees;
create policy "public_read_active_employees"
  on public.employees
  for select
  to anon
  using (active = true);

-- admin_users darf von anon gar nicht gelesen werden.
alter table public.admin_users enable row level security;

drop policy if exists "no_anon_access_admin_users" on public.admin_users;
-- absichtlich KEINE Policy für anon → Default deny.