MALIO-DEV/Coltura
3
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

RBAC - Système complet de permissions (Backend + Frontend) #7

Merged
tristan merged 56 commits from feat/rbac-admin-users into develop 2026-04-17 12:34:39 +00:00
Conversation 0 Commits 56 Files Changed 65 +9985 -386
matthieu commented 2026-04-16 14:47:58 +00:00
Owner
Copy Link

Résumé

Implémentation complète du système RBAC (Role-Based Access Control) pour Coltura.

Backend

  • Entités Permission et Role avec API Platform CRUD
  • PermissionVoter : vérification des permissions effectives (rôles + directes), admin bypass
  • Endpoints PATCH /users/{id}/rbac pour assigner rôles, permissions directes et isAdmin
  • AdminHeadcountGuard : protection contre la suppression du dernier admin
  • Commande app:sync-permissions pour synchroniser les permissions déclarées par les modules
  • Filtrage sidebar par permission RBAC (permission key optionnelle dans sidebar.php)
  • 115 tests PHPUnit (fonctionnels + unitaires)

Frontend

  • Composable usePermissions() avec can(), canAny(), canAll() et admin bypass
  • Page /admin/roles : DataTable, création/édition via drawer, suppression avec confirmation
  • Page /admin/users : DataTable, drawer RBAC avec rôles, permissions directes, résumé effectif
  • PermissionGroup : checkboxes groupées par module avec "tout sélectionner"
  • EffectivePermissions : résumé lecture seule avec badges source ("via Rôle X" / "Direct")
  • Warning auto-édition, toggle isAdmin
  • Tests Vitest pour usePermissions

Permissions déclarées

  • core.users.view — Voir les utilisateurs
  • core.users.manage — Gérer les utilisateurs
  • core.roles.view — Voir les rôles RBAC
  • core.roles.manage — Gérer les rôles et permissions
  • GET /api/permissions accessible à tout utilisateur authentifié (catalogue read-only)

Tickets Lesstime

  • ERP-23 (#343) — Entités Permission et Role
  • ERP-24 (#344) — API CRUD Roles & Permissions
  • ERP-25 (#345) — Voter Symfony + usePermissions
  • ERP-26 (#346) — Interface Admin : Gestion des Rôles
  • ERP-27 (#347) — Interface Admin : Permissions Utilisateur

Test plan

  • make db-reset puis vérifier les fixtures (admin/alice/bob, rôles système)
  • Login admin : sidebar affiche Gestion des rôles + Utilisateurs
  • Login alice : sidebar masque ces onglets (pas de permission)
  • Page /admin/roles : CRUD rôles, permissions groupées, protection rôles système
  • Page /admin/users : assignation rôles + permissions directes, résumé effectif
  • Warning auto-édition quand admin modifie ses propres droits
  • make test : 115 tests PHPUnit passent
  • cd frontend && npm run test : tests Vitest passent

🤖 Generated with Claude Code

## Résumé Implémentation complète du système RBAC (Role-Based Access Control) pour Coltura. ### Backend - Entités Permission et Role avec API Platform CRUD - PermissionVoter : vérification des permissions effectives (rôles + directes), admin bypass - Endpoints `PATCH /users/{id}/rbac` pour assigner rôles, permissions directes et isAdmin - AdminHeadcountGuard : protection contre la suppression du dernier admin - Commande `app:sync-permissions` pour synchroniser les permissions déclarées par les modules - Filtrage sidebar par permission RBAC (`permission` key optionnelle dans sidebar.php) - 115 tests PHPUnit (fonctionnels + unitaires) ### Frontend - Composable `usePermissions()` avec `can()`, `canAny()`, `canAll()` et admin bypass - Page `/admin/roles` : DataTable, création/édition via drawer, suppression avec confirmation - Page `/admin/users` : DataTable, drawer RBAC avec rôles, permissions directes, résumé effectif - PermissionGroup : checkboxes groupées par module avec "tout sélectionner" - EffectivePermissions : résumé lecture seule avec badges source ("via Rôle X" / "Direct") - Warning auto-édition, toggle isAdmin - Tests Vitest pour usePermissions ### Permissions déclarées - `core.users.view` — Voir les utilisateurs - `core.users.manage` — Gérer les utilisateurs - `core.roles.view` — Voir les rôles RBAC - `core.roles.manage` — Gérer les rôles et permissions - `GET /api/permissions` accessible à tout utilisateur authentifié (catalogue read-only) ## Tickets Lesstime - ERP-23 (#343) — Entités Permission et Role - ERP-24 (#344) — API CRUD Roles & Permissions - ERP-25 (#345) — Voter Symfony + usePermissions - ERP-26 (#346) — Interface Admin : Gestion des Rôles - ERP-27 (#347) — Interface Admin : Permissions Utilisateur ## Test plan - [ ] `make db-reset` puis vérifier les fixtures (admin/alice/bob, rôles système) - [ ] Login admin : sidebar affiche Gestion des rôles + Utilisateurs - [ ] Login alice : sidebar masque ces onglets (pas de permission) - [ ] Page /admin/roles : CRUD rôles, permissions groupées, protection rôles système - [ ] Page /admin/users : assignation rôles + permissions directes, résumé effectif - [ ] Warning auto-édition quand admin modifie ses propres droits - [ ] `make test` : 115 tests PHPUnit passent - [ ] `cd frontend && npm run test` : tests Vitest passent 🤖 Generated with [Claude Code](https://claude.com/claude-code)
matthieu added 40 commits 2026-04-16 14:47:58 +00:00
docs(rbac) : spec ticket #344 - API CRUD roles & permissions 1cf550721b
feat(core) : RBAC #344 - API Platform Permission en lecture seule fdb7aded82 
- Expose l'entite Permission via ApiResource (GetCollection + Get uniquement)
- Serialisation limitee au groupe permission:read (id, code, label, module, orphan)
- Securite temporaire is_granted('ROLE_ADMIN'), a remplacer par
  is_granted('core.permissions.view') au ticket #345
- Filtres : SearchFilter exact sur module, BooleanFilter sur orphan
- Configure api_platform.mapping.paths pour que le compile pass AP decouvre
  les ApiResource/ApiFilter declares dans src/Module/Core/Domain/Entity
- Ajoute symfony/browser-kit et symfony/http-client en dev pour les tests
  fonctionnels API Platform, plus KERNEL_CLASS dans phpunit.dist.xml
- Tests fonctionnels PermissionApiTest : collection, get item, filtres
  module et orphan, 405 sur POST, 401 non authentifie, 403 non-admin
fix(test) : RBAC #344 - corrige EM stale et ajoute cas orphan=true f79f061131
feat(core) : RBAC #344 - API Platform Role CRUD nominal + validators 7be0260b29
fix(test) : RBAC #344 - role test cleanup + SystemRoles constant + assertion seuil efc12c8bdb
feat(core) : RBAC #344 - RoleProcessor + gardes systeme et code immuable d527fbe2d1
test(core) : RBAC #344 - renforce docblock setCode + assertion message exception 87aa1d0b04
refactor(test) : RBAC #344 - AbstractApiTestCase pour mutualiser auth JWT 168a47f2b8 
Extrait l'helper authenticatedClient(), $alwaysBootKernel et getEm() dans
une classe de base commune aux tests fonctionnels API Platform du module
Core. Supprime la duplication entre PermissionApiTest et RoleApiTest
(flaggee en code review de la Task 2). Prepare le terrain pour le nouveau
UserRbacApiTest introduit avec la Task 4.
feat(core) : RBAC #344 - UserRbacProcessor + endpoint /users/{id}/rbac 3c7dc88fe7 
Ajoute une operation Patch dediee `PATCH /api/users/{id}/rbac` (nom
`user_rbac_patch`) qui accepte exclusivement les champs RBAC isAdmin,
roles et directPermissions via le groupe user:rbac:write. L'endpoint est
separe volontairement du Patch profil existant pour isoler la modification
des droits de celle des donnees profil (decision 0fc4e16).

UserRbacProcessor delegue au PersistProcessor Doctrine decore et applique
une garde auto-suicide : un admin ne peut pas retirer ses propres droits
administrateur (compare l'etat entrant a l'etat UnitOfWork). La garde
'dernier admin' globale est reportee au ticket #345.

La propriete Doctrine $roles est renommee $rbacRoles pour eviter la
collision avec UserInterface::getRoles() (qui renvoie list<string>) lors
de la normalization API Platform. La cle JSON reste `roles` grace a
SerializedName, le contrat API est inchange.

Tests : 6 unitaires (UserRbacProcessorTest) + 8 fonctionnels
(UserRbacApiTest) couvrant promotion admin, remplacement des collections
roles/directPermissions, 401/403, filtrage du groupe denormalization
(`username` ignore), preservation de isAdmin sur le Patch profil, et
garde auto-suicide.
refactor(core) : RBAC #344 - polish review - narrow rbac read group + fail-fast processors 534bdbccdd
fix(core) : RBAC #344 - ferme leak user list + test cascade delete role 0ccbc70f27
docs(core) : RBAC #345 - spec voter + usePermissions fd4ed25c63
feat(core) : RBAC #345 - add core.roles.view permission b7aa445cef
feat(core) : RBAC #345 - AdminHeadcountGuard domain service 4325b1d8a0
feat(core) : RBAC #345 - PermissionVoter symfony ab2f11d40d
feat(core) : RBAC #345 - UserProcessor DELETE guard ba5eb804f2 
Introduit AdminHeadcountGuardInterface pour permettre le mock en tests
unitaires, puis cree UserProcessor qui protege DELETE /api/users/{id}
contre la suppression du dernier administrateur via la garde domaine.
feat(core) : RBAC #345 - UserRbacProcessor last admin guard 80b63cd7d7
refactor(core) : RBAC #345 - replace ROLE_ADMIN placeholders with RBAC codes b05c10097f
feat(core) : RBAC #345 - expose effectivePermissions via /api/me d1e4402368 
- Ajoute #[Groups(['me:read'])] sur getEffectivePermissions() dans User.php
- Fixe la serialisation de isAdmin : le prefixe "is" etait strip par Symfony,
  expose desormais via le getter avec #[SerializedName('isAdmin')] + groups lecture,
  la propriete conserve uniquement le groupe d'ecriture user:rbac:write
- Cree MeApiTest avec 4 tests fonctionnels (isAdmin admin, permissions vides user,
  401 sans auth, effectivePermissions avec role portant une permission)
test(core) : RBAC #345 - functional coverage voter + last admin guard 6df4316950
feat(frontend) : RBAC #345 - usePermissions composable 45f40ed1b3 
Ajout de isAdmin et effectivePermissions dans UserData, creation du
composable usePermissions() (can/canAny/canAll) avec bypass admin.
build(core) : RBAC #345 - sync permissions in db-reset 91b2ae0c65
test(frontend) : RBAC #345 - vitest setup + usePermissions unit tests 6cc576f000
build(core) : RBAC #345 - nuxt-test and test-all makefile targets c1a620f593
feat(frontend) : ERP-26 - sidebar entry + i18n keys for admin roles 9117bc0a6c
feat(frontend) : ERP-26 - PermissionGroup component 44c73b6551
feat(frontend) : ERP-26 - RoleDeleteModal component 84f91428bc 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
feat(frontend) : ERP-26 - RoleDrawer component (create/edit with permissions) 2cb5a7a0b0 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
feat(frontend) : ERP-26 - admin roles page with table, drawer, delete modal 6e0c875bd7 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
build(frontend) : ERP-26 - bump @malio/layer-ui to ^1.3.0 (DataTable) 6101bd85ce 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
fix(frontend) : ERP-26 - fix Hydra response format (member not hydra:member) and IRI permissions 07d53cdf8c 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
refactor(frontend) : ERP-26 - migrate roles table to MalioDataTable component 3fe44e4de2 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
feat(frontend) : ERP-27 - sidebar entry + i18n keys for admin users 17a331b31d 
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
feat(frontend) : ERP-27 - EffectivePermissions component d0ee109afb 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
feat(frontend) : ERP-27 - UserRbacDrawer component c36b8b6c09 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
feat(frontend) : ERP-27 - admin users page with DataTable and RBAC drawer 580ea01941 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
fix(frontend) : ERP-26/27 - review fixes: shared types, accents i18n, escape key, self-edit refresh, row-clickable guard d49c317c49 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
fix(core) : RBAC review fixes - code readonly in edit, TOCTOU doc, canManage reactive, itemsPerPage 999 793c58a4a8 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
feat(core) : RBAC - filtrage sidebar par permission 6395f4cced 
Les items sidebar peuvent declarer une cle `permission` optionnelle.
Le SidebarProvider verifie isGranted() et masque les items dont
l'utilisateur ne possede pas la permission requise.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
refactor(core) : RBAC - rendre le catalogue permissions accessible a tout user authentifie 60e424393c 
La permission core.permissions.view est supprimee du CoreModule.
Le endpoint GET /api/permissions est desormais protege par ROLE_USER
au lieu d'une permission RBAC specifique, car c'est un catalogue
de metadonnees necessaire aux drawers de gestion des roles et users.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
tristan added 2 commits 2026-04-17 08:46:48 +00:00
refactor(frontend) : RBAC - nettoyage UI admin users/roles 681775d367 
Supprime la colonne actions des tables users et roles (la ligne cliquable
ouvre deja le drawer). Deplace la suppression d'un role dans le drawer
d'edition (bouton danger avec icone, desactive pour les roles systeme).
Harmonise les boutons annuler en variant tertiary et ajoute les icones
manquantes (plus pour nouveau role, poubelle pour supprimer).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
chore : ajouter cible test-db-setup pour provisionner la BDD de test 40c01fe62f 
Nouvelle cible idempotente qui cree la base coltura_test, joue les
migrations, charge les fixtures et synchronise les permissions RBAC
(ordre important : sync-permissions apres fixtures qui purge la table
permission). Branchee automatiquement sur install et db-reset pour que
chaque dev ait la BDD de test prete au premier clone et que make test
passe sans etape manuelle.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
tristan merged commit e8c2789435 into develop 2026-04-17 12:34:39 +00:00
tristan deleted branch feat/rbac-admin-users 2026-04-17 12:34:39 +00:00
Sign in to join this conversation.
Reviewers
No Reviewers
Labels
No items
No Label
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
malio matthieu tristan
No Assignees
2 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: MALIO-DEV/Coltura#7
Delete Branch "feat/rbac-admin-users"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?