feat(core) : RBAC #345 - UserRbacProcessor last admin guard

src/Module/Core/Infrastructure/ApiPlatform/State/Processor/UserRbacProcessor.php

@@ -7,6 +7,8 @@ namespace App\Module\Core\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use App\Module\Core\Domain\Entity\User;
+use App\Module\Core\Domain\Exception\LastAdminProtectionException;
+use App\Module\Core\Domain\Security\AdminHeadcountGuardInterface;
 use Doctrine\ORM\EntityManagerInterface;
 use LogicException;
 use Symfony\Bundle\SecurityBundle\Security;
@@ -21,14 +23,12 @@ use Symfony\Component\HttpKernel\Exception\BadRequestHttpException;
  * ne touche JAMAIS au mot de passe — c'est une separation volontaire avec le
  * UserPasswordHasherProcessor qui gere le endpoint profil `/api/users/{id}`.
  *
- * Gardes metier :
+ * Gardes metier (dans l'ordre d'execution) :
  *  - Auto-suicide : un admin ne peut pas retirer son propre flag `isAdmin`.
- *    On compare l'etat entrant a l'etat d'origine via l'UnitOfWork Doctrine,
- *    en restreignant la verification au couple "user courant == user cible".
- *
- * TODO ticket #345 : garde "dernier admin" globale via inventaire des admins
- * restants (empeche de retirer `isAdmin` au dernier admin de l'instance, meme
- * si ce n'est pas sa propre operation).
+ *    Cas particulier plus strict, avec message dedie.
+ *  - Dernier admin global : impossible de retirer `isAdmin` si c'est le
+ *    dernier administrateur de l'instance, meme par un tiers. Enforce via
+ *    AdminHeadcountGuardInterface.
  *
  * @implements ProcessorInterface<User, User>
  */
@@ -39,6 +39,7 @@ final class UserRbacProcessor implements ProcessorInterface
         private readonly ProcessorInterface $persistProcessor,
         private readonly EntityManagerInterface $entityManager,
         private readonly Security $security,
+        private readonly AdminHeadcountGuardInterface $adminHeadcountGuard,
     ) {}
 
     public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
@@ -56,19 +57,26 @@ final class UserRbacProcessor implements ProcessorInterface
 
         $currentUser = $this->security->getUser();
 
-        // Garde auto-suicide : l'user courant ne peut pas retirer son propre
-        // flag admin. On ne compare que si la cible == l'user courant.
-        if ($currentUser instanceof User
-            && null !== $currentUser->getId()
-            && $currentUser->getId() === $data->getId()
-        ) {
-            $originalData = $this->entityManager->getUnitOfWork()->getOriginalEntityData($data);
-            $wasAdmin     = $originalData['isAdmin'] ?? null;
+        // Calcul partage entre les deux gardes : l'user perdait-il le flag admin ?
+        $originalData  = $this->entityManager->getUnitOfWork()->getOriginalEntityData($data);
+        $wasAdmin      = $originalData['isAdmin'] ?? null;
+        $willLoseAdmin = true === $wasAdmin && false === $data->isAdmin();
 
-            if (true === $wasAdmin && false === $data->isAdmin()) {
-                throw new BadRequestHttpException(
-                    'Vous ne pouvez pas retirer vos propres droits administrateur.'
-                );
+        // Garde auto-suicide : cas particulier plus strict — l'user courant ne
+        // peut pas retirer son propre flag admin, meme si d'autres admins existent.
+        if ($willLoseAdmin && $currentUser instanceof User && $currentUser->getId() === $data->getId()) {
+            throw new BadRequestHttpException(
+                'Vous ne pouvez pas retirer vos propres droits administrateur.'
+            );
+        }
+
+        // Garde dernier admin global : invariant general — impossible de retirer
+        // isAdmin si cela laisserait l'instance sans administrateur.
+        if ($willLoseAdmin) {
+            try {
+                $this->adminHeadcountGuard->ensureAtLeastOneAdminRemainsAfterDemotion($data);
+            } catch (LastAdminProtectionException $exception) {
+                throw new BadRequestHttpException($exception->getMessage(), $exception);
             }
         }