RBAC #344 - API CRUD Roles & Permissions (Backend) #3

matthieu · 2026-04-15T12:57:05Z

matthieu commented

2026-04-15 12:57:05 +00:00

No description provided.

matthieu added 11 commits 2026-04-15 12:57:05 +00:00

docs(rbac) : spec ticket #344 - API CRUD roles & permissions 1cf550721b

feat(core) : RBAC #344 - API Platform Permission en lecture seule fdb7aded82

- Expose l'entite Permission via ApiResource (GetCollection + Get uniquement)
- Serialisation limitee au groupe permission:read (id, code, label, module, orphan)
- Securite temporaire is_granted('ROLE_ADMIN'), a remplacer par
  is_granted('core.permissions.view') au ticket #345
- Filtres : SearchFilter exact sur module, BooleanFilter sur orphan
- Configure api_platform.mapping.paths pour que le compile pass AP decouvre
  les ApiResource/ApiFilter declares dans src/Module/Core/Domain/Entity
- Ajoute symfony/browser-kit et symfony/http-client en dev pour les tests
  fonctionnels API Platform, plus KERNEL_CLASS dans phpunit.dist.xml
- Tests fonctionnels PermissionApiTest : collection, get item, filtres
  module et orphan, 405 sur POST, 401 non authentifie, 403 non-admin

fix(test) : RBAC #344 - corrige EM stale et ajoute cas orphan=true f79f061131

feat(core) : RBAC #344 - API Platform Role CRUD nominal + validators 7be0260b29

fix(test) : RBAC #344 - role test cleanup + SystemRoles constant + assertion seuil efc12c8bdb

feat(core) : RBAC #344 - RoleProcessor + gardes systeme et code immuable d527fbe2d1

test(core) : RBAC #344 - renforce docblock setCode + assertion message exception 87aa1d0b04

refactor(test) : RBAC #344 - AbstractApiTestCase pour mutualiser auth JWT 168a47f2b8

Extrait l'helper authenticatedClient(), $alwaysBootKernel et getEm() dans
une classe de base commune aux tests fonctionnels API Platform du module
Core. Supprime la duplication entre PermissionApiTest et RoleApiTest
(flaggee en code review de la Task 2). Prepare le terrain pour le nouveau
UserRbacApiTest introduit avec la Task 4.

feat(core) : RBAC #344 - UserRbacProcessor + endpoint /users/{id}/rbac 3c7dc88fe7

Ajoute une operation Patch dediee `PATCH /api/users/{id}/rbac` (nom
`user_rbac_patch`) qui accepte exclusivement les champs RBAC isAdmin,
roles et directPermissions via le groupe user:rbac:write. L'endpoint est
separe volontairement du Patch profil existant pour isoler la modification
des droits de celle des donnees profil (decision 0fc4e16).

UserRbacProcessor delegue au PersistProcessor Doctrine decore et applique
une garde auto-suicide : un admin ne peut pas retirer ses propres droits
administrateur (compare l'etat entrant a l'etat UnitOfWork). La garde
'dernier admin' globale est reportee au ticket #345.

La propriete Doctrine $roles est renommee $rbacRoles pour eviter la
collision avec UserInterface::getRoles() (qui renvoie list<string>) lors
de la normalization API Platform. La cle JSON reste `roles` grace a
SerializedName, le contrat API est inchange.

Tests : 6 unitaires (UserRbacProcessorTest) + 8 fonctionnels
(UserRbacApiTest) couvrant promotion admin, remplacement des collections
roles/directPermissions, 401/403, filtrage du groupe denormalization
(`username` ignore), preservation de isAdmin sur le Patch profil, et
garde auto-suicide.

refactor(core) : RBAC #344 - polish review - narrow rbac read group + fail-fast processors 534bdbccdd

fix(core) : RBAC #344 - ferme leak user list + test cascade delete role 0ccbc70f27

matthieu changed title from ~~[#345] api permission~~ to RBAC #344 - API CRUD Roles & Permissions (Backend)

2026-04-15 15:56:54 +00:00

matthieu closed this pull request

2026-04-16 14:47:30 +00:00

Pull request closed

This pull request cannot be reopened because the branch was deleted.

Sign in to join this conversation.

1 Participants

Notifications

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: MALIO-DEV/Coltura#3