RBAC - Système complet de permissions (Backend + Frontend) (#7)

## Résumé

Implémentation complète du système RBAC (Role-Based Access Control) pour Coltura.

### Backend
- Entités Permission et Role avec API Platform CRUD
- PermissionVoter : vérification des permissions effectives (rôles + directes), admin bypass
- Endpoints `PATCH /users/{id}/rbac` pour assigner rôles, permissions directes et isAdmin
- AdminHeadcountGuard : protection contre la suppression du dernier admin
- Commande `app:sync-permissions` pour synchroniser les permissions déclarées par les modules
- Filtrage sidebar par permission RBAC (`permission` key optionnelle dans sidebar.php)
- 115 tests PHPUnit (fonctionnels + unitaires)

### Frontend
- Composable `usePermissions()` avec `can()`, `canAny()`, `canAll()` et admin bypass
- Page `/admin/roles` : DataTable, création/édition via drawer, suppression avec confirmation
- Page `/admin/users` : DataTable, drawer RBAC avec rôles, permissions directes, résumé effectif
- PermissionGroup : checkboxes groupées par module avec "tout sélectionner"
- EffectivePermissions : résumé lecture seule avec badges source ("via Rôle X" / "Direct")
- Warning auto-édition, toggle isAdmin
- Tests Vitest pour usePermissions

### Permissions déclarées
- `core.users.view` — Voir les utilisateurs
- `core.users.manage` — Gérer les utilisateurs
- `core.roles.view` — Voir les rôles RBAC
- `core.roles.manage` — Gérer les rôles et permissions
- `GET /api/permissions` accessible à tout utilisateur authentifié (catalogue read-only)

## Tickets Lesstime

- ERP-23 (#343) — Entités Permission et Role
- ERP-24 (#344) — API CRUD Roles & Permissions
- ERP-25 (#345) — Voter Symfony + usePermissions
- ERP-26 (#346) — Interface Admin : Gestion des Rôles
- ERP-27 (#347) — Interface Admin : Permissions Utilisateur

## Test plan

- [ ] `make db-reset` puis vérifier les fixtures (admin/alice/bob, rôles système)
- [ ] Login admin : sidebar affiche Gestion des rôles + Utilisateurs
- [ ] Login alice : sidebar masque ces onglets (pas de permission)
- [ ] Page /admin/roles : CRUD rôles, permissions groupées, protection rôles système
- [ ] Page /admin/users : assignation rôles + permissions directes, résumé effectif
- [ ] Warning auto-édition quand admin modifie ses propres droits
- [ ] `make test` : 115 tests PHPUnit passent
- [ ] `cd frontend && npm run test` : tests Vitest passent

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-authored-by: Matthieu <mtholot19@gmail.com>
Co-authored-by: tristan <tristan@yuno.malio.fr>
Reviewed-on: #7
Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>

src/Module/Core/Infrastructure/DataFixtures/AppFixtures.php

@@ -4,37 +4,90 @@ declare(strict_types=1);
 
 namespace App\Module\Core\Infrastructure\DataFixtures;
 
+use App\Module\Core\Domain\Entity\Role;
 use App\Module\Core\Domain\Entity\User;
+use App\Module\Core\Domain\Repository\RoleRepositoryInterface;
+use App\Module\Core\Domain\Security\SystemRoles;
 use Doctrine\Bundle\FixturesBundle\Fixture;
 use Doctrine\Persistence\ObjectManager;
 use Symfony\Component\PasswordHasher\Hasher\UserPasswordHasherInterface;
 
+/**
+ * Fixtures de base du module Core : 3 utilisateurs (1 admin + 2 standards)
+ * rattaches aux roles systeme RBAC seedes par la migration Version20260414150034.
+ *
+ * Note : le purger Doctrine execute avant load() supprime l'ensemble des
+ * entites managees, ce qui inclut la table role. On re-seede donc les roles
+ * systeme de maniere idempotente avant de rattacher les utilisateurs, afin
+ * que le workflow "make db-reset && make fixtures" reste one-shot.
+ */
 class AppFixtures extends Fixture
 {
     public function __construct(
         private readonly UserPasswordHasherInterface $passwordHasher,
+        private readonly RoleRepositoryInterface $roleRepository,
     ) {}
 
     public function load(ObjectManager $manager): void
     {
+        $adminRole = $this->ensureSystemRole(
+            $manager,
+            SystemRoles::ADMIN_CODE,
+            'Administrateur',
+            'Role administrateur - bypass complet via is_admin',
+        );
+        $userRole = $this->ensureSystemRole(
+            $manager,
+            SystemRoles::USER_CODE,
+            'Utilisateur',
+            'Role de base sans permission specifique',
+        );
+
         $admin = new User();
         $admin->setUsername('admin');
-        $admin->setRoles(['ROLE_ADMIN']);
+        $admin->setIsAdmin(true);
         $admin->setPassword($this->passwordHasher->hashPassword($admin, 'admin'));
+        $admin->addRbacRole($adminRole);
         $manager->persist($admin);
 
         $alice = new User();
         $alice->setUsername('alice');
-        $alice->setRoles(['ROLE_USER']);
         $alice->setPassword($this->passwordHasher->hashPassword($alice, 'alice'));
+        $alice->addRbacRole($userRole);
         $manager->persist($alice);
 
         $bob = new User();
         $bob->setUsername('bob');
-        $bob->setRoles(['ROLE_USER']);
         $bob->setPassword($this->passwordHasher->hashPassword($bob, 'bob'));
+        $bob->addRbacRole($userRole);
         $manager->persist($bob);
 
         $manager->flush();
     }
+
+    /**
+     * Retourne le role systeme correspondant au code donne, en le creant
+     * s'il n'existe pas encore (le purger Doctrine a pu vider la table role).
+     *
+     * La description est recopiee depuis la migration RBAC pour que les
+     * deux chemins (migration prod, fixtures dev) produisent un etat
+     * identique.
+     */
+    private function ensureSystemRole(
+        ObjectManager $manager,
+        string $code,
+        string $label,
+        string $description,
+    ): Role {
+        $role = $this->roleRepository->findByCode($code);
+
+        if (null !== $role) {
+            return $role;
+        }
+
+        $role = new Role($code, $label, isSystem: true, description: $description);
+        $manager->persist($role);
+
+        return $role;
+    }
 }