THOLOT DECHENE Matthieu
e8c2789435
Some checks failed
Auto Tag Develop / tag (push) Has been cancelled
## Résumé
Implémentation complète du système RBAC (Role-Based Access Control) pour Coltura.
### Backend
- Entités Permission et Role avec API Platform CRUD
- PermissionVoter : vérification des permissions effectives (rôles + directes), admin bypass
- Endpoints `PATCH /users/{id}/rbac` pour assigner rôles, permissions directes et isAdmin
- AdminHeadcountGuard : protection contre la suppression du dernier admin
- Commande `app:sync-permissions` pour synchroniser les permissions déclarées par les modules
- Filtrage sidebar par permission RBAC (`permission` key optionnelle dans sidebar.php)
- 115 tests PHPUnit (fonctionnels + unitaires)
### Frontend
- Composable `usePermissions()` avec `can()`, `canAny()`, `canAll()` et admin bypass
- Page `/admin/roles` : DataTable, création/édition via drawer, suppression avec confirmation
- Page `/admin/users` : DataTable, drawer RBAC avec rôles, permissions directes, résumé effectif
- PermissionGroup : checkboxes groupées par module avec "tout sélectionner"
- EffectivePermissions : résumé lecture seule avec badges source ("via Rôle X" / "Direct")
- Warning auto-édition, toggle isAdmin
- Tests Vitest pour usePermissions
### Permissions déclarées
- `core.users.view` — Voir les utilisateurs
- `core.users.manage` — Gérer les utilisateurs
- `core.roles.view` — Voir les rôles RBAC
- `core.roles.manage` — Gérer les rôles et permissions
- `GET /api/permissions` accessible à tout utilisateur authentifié (catalogue read-only)
## Tickets Lesstime
- ERP-23 (#343) — Entités Permission et Role
- ERP-24 (#344) — API CRUD Roles & Permissions
- ERP-25 (#345) — Voter Symfony + usePermissions
- ERP-26 (#346) — Interface Admin : Gestion des Rôles
- ERP-27 (#347) — Interface Admin : Permissions Utilisateur
## Test plan
- [ ] `make db-reset` puis vérifier les fixtures (admin/alice/bob, rôles système)
- [ ] Login admin : sidebar affiche Gestion des rôles + Utilisateurs
- [ ] Login alice : sidebar masque ces onglets (pas de permission)
- [ ] Page /admin/roles : CRUD rôles, permissions groupées, protection rôles système
- [ ] Page /admin/users : assignation rôles + permissions directes, résumé effectif
- [ ] Warning auto-édition quand admin modifie ses propres droits
- [ ] `make test` : 115 tests PHPUnit passent
- [ ] `cd frontend && npm run test` : tests Vitest passent
🤖 Generated with [Claude Code](https://claude.com/claude-code)
Co-authored-by: Matthieu <mtholot19@gmail.com>
Co-authored-by: tristan <tristan@yuno.malio.fr>
Reviewed-on: #7
Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
134 lines
4.9 KiB
PHP
134 lines
4.9 KiB
PHP
<?php
|
|
|
|
declare(strict_types=1);
|
|
|
|
namespace App\Tests\Module\Core\Api;
|
|
|
|
use ApiPlatform\Symfony\Bundle\Test\ApiTestCase;
|
|
use ApiPlatform\Symfony\Bundle\Test\Client;
|
|
use App\Module\Core\Domain\Entity\Permission;
|
|
use App\Module\Core\Domain\Entity\Role;
|
|
use App\Module\Core\Domain\Entity\User;
|
|
use Doctrine\ORM\EntityManagerInterface;
|
|
use Symfony\Component\PasswordHasher\Hasher\UserPasswordHasherInterface;
|
|
|
|
/**
|
|
* Classe de base pour les tests fonctionnels API Platform du module Core.
|
|
*
|
|
* Mutualise :
|
|
* - `$alwaysBootKernel = true` : bascule le nouveau comportement API Platform 5
|
|
* et evite la deprecation emise a la creation du client de test.
|
|
* - `authenticatedClient()` : cree un client authentifie via `/login_check`
|
|
* (cookie BEARER HTTP-only pose par lexik_jwt_authentication).
|
|
* - `getEm()` : recupere l'EntityManager depuis le container courant.
|
|
* A rappeler apres chaque createClient() car le kernel est reboote.
|
|
* - `createUserWithPermission()` : cree un user non-admin jetable portant
|
|
* une permission specifique via un role custom. Utile pour prouver qu'un
|
|
* non-admin avec la permission obtient 200, et sans la permission 403.
|
|
*
|
|
* @internal
|
|
*/
|
|
abstract class AbstractApiTestCase extends ApiTestCase
|
|
{
|
|
// Bascule explicite sur le nouveau comportement API Platform 5 pour
|
|
// eviter la deprecation emise a la creation du client de test.
|
|
protected static ?bool $alwaysBootKernel = true;
|
|
|
|
/**
|
|
* Recupere l'EntityManager depuis le container courant. A utiliser a
|
|
* chaque appel : apres un createClient(), le kernel est reboote et tout
|
|
* EM precedemment capture est invalide.
|
|
*/
|
|
protected function getEm(): EntityManagerInterface
|
|
{
|
|
if (!self::$kernel) {
|
|
self::bootKernel();
|
|
}
|
|
|
|
return self::getContainer()->get('doctrine')->getManager();
|
|
}
|
|
|
|
/**
|
|
* Cree un client authentifie via /login_check. La configuration du projet
|
|
* pose le JWT dans un cookie HTTP-only `BEARER` (cf. lexik_jwt_authentication.yaml)
|
|
* et retire le token du body de reponse ; le client BrowserKit persiste
|
|
* automatiquement le cookie pour les requetes suivantes.
|
|
*/
|
|
protected function authenticatedClient(string $username, string $password): Client
|
|
{
|
|
$client = self::createClient();
|
|
$response = $client->request('POST', '/login_check', [
|
|
'headers' => ['Content-Type' => 'application/json'],
|
|
'json' => ['username' => $username, 'password' => $password],
|
|
]);
|
|
|
|
self::assertContains(
|
|
$response->getStatusCode(),
|
|
[200, 204],
|
|
'Login failed for '.$username.': '.$response->getStatusCode(),
|
|
);
|
|
|
|
return $client;
|
|
}
|
|
|
|
/**
|
|
* Cree un utilisateur non-admin portant une permission specifique via un
|
|
* role custom jetable. A utiliser dans les tests fonctionnels qui doivent
|
|
* prouver qu'un non-admin avec la permission requise obtient 200, et
|
|
* sans la permission obtient 403.
|
|
*
|
|
* Le user et le role sont persistes avec un suffixe aleatoire pour eviter
|
|
* les collisions inter-tests. Le password est "testpass".
|
|
*
|
|
* Prerequis : la permission identifiee par $permissionCode doit exister en
|
|
* base (seeder via `app:sync-permissions`). Si elle est introuvable, le test
|
|
* echoue immediatement avec un message explicite.
|
|
*
|
|
* @param string $permissionCode Le code de la permission (ex: "core.users.view")
|
|
*
|
|
* @return array{username: string, password: string} Les identifiants pour authenticatedClient()
|
|
*/
|
|
protected function createUserWithPermission(string $permissionCode): array
|
|
{
|
|
if (!self::$kernel) {
|
|
self::bootKernel();
|
|
}
|
|
|
|
$em = $this->getEm();
|
|
|
|
/** @var null|Permission $permission */
|
|
$permission = $em->getRepository(Permission::class)->findOneBy(['code' => $permissionCode]);
|
|
|
|
self::assertNotNull(
|
|
$permission,
|
|
sprintf(
|
|
'Permission "%s" introuvable en base. Assurez-vous que `app:sync-permissions` a ete execute.',
|
|
$permissionCode,
|
|
),
|
|
);
|
|
|
|
$suffix = substr(bin2hex(random_bytes(4)), 0, 8);
|
|
$username = 'testuser_'.$suffix;
|
|
$password = 'testpass';
|
|
|
|
/** @var UserPasswordHasherInterface $hasher */
|
|
$hasher = self::getContainer()->get(UserPasswordHasherInterface::class);
|
|
|
|
$role = new Role('test_'.$suffix, 'Test Role '.$suffix, false);
|
|
$role->addPermission($permission);
|
|
$em->persist($role);
|
|
|
|
$user = new User();
|
|
$user->setUsername($username);
|
|
$user->setIsAdmin(false);
|
|
$user->setPassword($hasher->hashPassword($user, $password));
|
|
$user->addRbacRole($role);
|
|
$em->persist($user);
|
|
|
|
$em->flush();
|
|
$em->clear();
|
|
|
|
return ['username' => $username, 'password' => $password];
|
|
}
|
|
}
|