Decouple API auth method

[florimondmanca]

Actuellement, la vérification des permissions et la méthode d'authentification sont couplés. En effet, current_user() authentifie l'utilisateur à partir du Bearer token dans la requête, mais on l'utilise aussi pour les permissions : IsAuthenticated, HasRole.

Il faut découpler ces deux aspects. Je m'en suis rendu compte en regardant à #294 : si on implémentait une authentification "DataPass" (via auth.api.gouv), on emploierait une autre méthode (passage par le serveur OpenID Connect) mais il faut que la logique des permissions ne change pas.

Cette PR refactor le code pour utiliser le mécanisme de AuthenticationBackend de Starlette. Ainsi, la logique de current_user() migre vers un TokenAuthBackend, et celui-ci est branché à un AuthMiddleware. On a alors accès à request.user dans les routes avec une interface unique indépendante du backend, ce qui n'était pas le cas avant, et c'est là-dessus que se basent les utilitaires de permissions.