test(core) : RBAC #345 - functional coverage voter + last admin guard

tests/Module/Core/Api/AbstractApiTestCase.php

@@ -6,7 +6,11 @@ namespace App\Tests\Module\Core\Api;
 
 use ApiPlatform\Symfony\Bundle\Test\ApiTestCase;
 use ApiPlatform\Symfony\Bundle\Test\Client;
+use App\Module\Core\Domain\Entity\Permission;
+use App\Module\Core\Domain\Entity\Role;
+use App\Module\Core\Domain\Entity\User;
 use Doctrine\ORM\EntityManagerInterface;
+use Symfony\Component\PasswordHasher\Hasher\UserPasswordHasherInterface;
 
 /**
  * Classe de base pour les tests fonctionnels API Platform du module Core.
@@ -18,6 +22,9 @@ use Doctrine\ORM\EntityManagerInterface;
  *    (cookie BEARER HTTP-only pose par lexik_jwt_authentication).
  *  - `getEm()` : recupere l'EntityManager depuis le container courant.
  *    A rappeler apres chaque createClient() car le kernel est reboote.
+ *  - `createUserWithPermission()` : cree un user non-admin jetable portant
+ *    une permission specifique via un role custom. Utile pour prouver qu'un
+ *    non-admin avec la permission obtient 200, et sans la permission 403.
  *
  * @internal
  */
@@ -63,4 +70,64 @@ abstract class AbstractApiTestCase extends ApiTestCase
 
         return $client;
     }
+
+    /**
+     * Cree un utilisateur non-admin portant une permission specifique via un
+     * role custom jetable. A utiliser dans les tests fonctionnels qui doivent
+     * prouver qu'un non-admin avec la permission requise obtient 200, et
+     * sans la permission obtient 403.
+     *
+     * Le user et le role sont persistes avec un suffixe aleatoire pour eviter
+     * les collisions inter-tests. Le password est "testpass".
+     *
+     * Prerequis : la permission identifiee par $permissionCode doit exister en
+     * base (seeder via `app:sync-permissions`). Si elle est introuvable, le test
+     * echoue immediatement avec un message explicite.
+     *
+     * @param string $permissionCode Le code de la permission (ex: "core.users.view")
+     *
+     * @return array{username: string, password: string} Les identifiants pour authenticatedClient()
+     */
+    protected function createUserWithPermission(string $permissionCode): array
+    {
+        if (!self::$kernel) {
+            self::bootKernel();
+        }
+
+        $em = $this->getEm();
+
+        /** @var null|Permission $permission */
+        $permission = $em->getRepository(Permission::class)->findOneBy(['code' => $permissionCode]);
+
+        self::assertNotNull(
+            $permission,
+            sprintf(
+                'Permission "%s" introuvable en base. Assurez-vous que `app:sync-permissions` a ete execute.',
+                $permissionCode,
+            ),
+        );
+
+        $suffix   = substr(bin2hex(random_bytes(4)), 0, 8);
+        $username = 'testuser_'.$suffix;
+        $password = 'testpass';
+
+        /** @var UserPasswordHasherInterface $hasher */
+        $hasher = self::getContainer()->get(UserPasswordHasherInterface::class);
+
+        $role = new Role('test_'.$suffix, 'Test Role '.$suffix, false);
+        $role->addPermission($permission);
+        $em->persist($role);
+
+        $user = new User();
+        $user->setUsername($username);
+        $user->setIsAdmin(false);
+        $user->setPassword($hasher->hashPassword($user, $password));
+        $user->addRbacRole($role);
+        $em->persist($user);
+
+        $em->flush();
+        $em->clear();
+
+        return ['username' => $username, 'password' => $password];
+    }
 }