MALIO-DEV/Lesstime
3
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases 32 Wiki Activity

fix(rbac) : rattache le rôle de base « user » et gate le frontend par permission
Pull Request — Quality gate / Frontend (build) (pull_request) Successful in 42s
Details
Pull Request — Quality gate / Backend (PHP CS + PHPUnit) (pull_request) Successful in 1m1s
Details

Browse Source 
Un user avec des permissions sur le rôle RBAC « user » ne voyait rien : le
ROLE_USER legacy n'a aucun lien avec le RBAC et getEffectivePermissions() ne lit
que rbacRoles + permissions directes, alors qu'aucun user n'était rattaché au
rôle « user » (table user_role vide, jamais backfillée).

Backend
- DefaultUserRoleAssigner + UserDefaultRoleListener (prePersist) : tout nouvel
  utilisateur est rattaché au rôle « user » sur tous les chemins de persistance.
- Commande app:assign-default-roles (backfill idempotent) + ajout au deploy.sh.
- AppFixtures : seed des rôles système avant la création des users.

Frontend (gating par permission au lieu de ROLE_ADMIN legacy)
- Nouveau middleware « permission » + augmentation PageMeta : definePageMeta
  ({ permission }) (string = requise, array = any), ROLE_ADMIN bypasse.
- Pages directory/reporting/admin gatées par permission ; SidebarFilter accepte
  une liste de permissions (any) ; section admin sans gate de rôle.
- team-absences reste en ROLE_ADMIN (module Absence non RBAC-isé côté backend).
This commit is contained in:
Matthieu
2026-06-29 10:15:46 +02:00
parent 95befb776e
commit 1ab2eeccca
20 changed files with 350 additions and 22 deletions
Download Patch File Download Diff File Expand all files Collapse all files
tests/Functional/Module/Core/AssignDefaultRolesCommandTest.php
+58
View File
@@ -0,0 +1,58 @@
<?php
declare(strict_types=1);
namespace App\Tests\Functional\Module\Core;
use App\Module\Core\Application\Rbac\RbacSeeder;
use App\Module\Core\Domain\Entity\User;
use App\Module\Core\Domain\Security\SystemRoles;
use Doctrine\ORM\EntityManagerInterface;
use Symfony\Bundle\FrameworkBundle\Console\Application;
use Symfony\Bundle\FrameworkBundle\Test\KernelTestCase;
use Symfony\Component\Console\Tester\CommandTester;
use function array_map;
use function uniqid;
/**
* @internal
*/
final class AssignDefaultRolesCommandTest extends KernelTestCase
{
public function testBackfillLinksUsersMissingTheUserRole(): void
{
$kernel = self::bootKernel();
$em = self::getContainer()->get(EntityManagerInterface::class);
self::getContainer()->get(RbacSeeder::class)->ensureSystemRoles();
// Crée un user puis simule l'état « legacy » (aucun rôle RBAC) en retirant
// le rôle « user » auto-assigné à la création.
$user = new User();
$user->setUsername('backfill-'.uniqid());
$user->setPassword('x');
$em->persist($user);
$em->flush();
foreach ($user->getRbacRoles()->toArray() as $role) {
$user->removeRbacRole($role);
}
$em->flush();
$id = $user->getId();
$em->clear();
$before = $em->getRepository(User::class)->find($id);
self::assertInstanceOf(User::class, $before);
self::assertCount(0, $before->getRbacRoles(), 'Précondition : le user ne doit avoir aucun rôle RBAC.');
$em->clear();
$tester = new CommandTester(new Application($kernel)->find('app:assign-default-roles'));
$tester->execute([]);
$tester->assertCommandIsSuccessful();
$em->clear();
$after = $em->getRepository(User::class)->find($id);
self::assertInstanceOf(User::class, $after);
$codes = array_map(static fn ($role) => $role->getCode(), $after->getRbacRoles()->toArray());
self::assertContains(SystemRoles::USER_CODE, $codes, 'Le backfill doit rattacher le rôle « user ».');
}
}
tests/Functional/Module/Core/UserDefaultRoleListenerTest.php
+45
View File
@@ -0,0 +1,45 @@
<?php
declare(strict_types=1);
namespace App\Tests\Functional\Module\Core;
use App\Module\Core\Application\Rbac\RbacSeeder;
use App\Module\Core\Domain\Entity\User;
use App\Module\Core\Domain\Security\SystemRoles;
use Doctrine\ORM\EntityManagerInterface;
use Symfony\Bundle\FrameworkBundle\Test\KernelTestCase;
use function array_map;
use function uniqid;
/**
* @internal
*/
final class UserDefaultRoleListenerTest extends KernelTestCase
{
public function testNewUserReceivesDefaultUserRole(): void
{
$kernel = self::bootKernel();
$em = self::getContainer()->get(EntityManagerInterface::class);
self::getContainer()->get(RbacSeeder::class)->ensureSystemRoles();
$user = new User();
$user->setUsername('listener-'.uniqid());
$user->setPassword('x');
$em->persist($user);
$em->flush();
$id = $user->getId();
$em->clear();
$reloaded = $em->getRepository(User::class)->find($id);
self::assertInstanceOf(User::class, $reloaded);
$codes = array_map(static fn ($role) => $role->getCode(), $reloaded->getRbacRoles()->toArray());
self::assertContains(
SystemRoles::USER_CODE,
$codes,
'Un utilisateur fraîchement créé doit être rattaché au rôle RBAC de base « user ».',
);
}
}
tests/Unit/Shared/Sidebar/SidebarFilterTest.php
+29
View File
@@ -127,4 +127,33 @@ final class SidebarFilterTest extends TestCase
$out = SidebarFilter::filter($sections, [], [], ['core.users.view']);
self::assertCount(1, $out['sections'][0]['items']);
}
public function testItemWithPermissionArrayIsVisibleWhenAnyGranted(): void
{
$sections = [[
'label' => 's', 'icon' => 'i',
'items' => [[
'label' => 'a', 'to' => '/a', 'icon' => 'i',
'permission' => ['directory.clients.view', 'directory.prospects.view', 'directory.providers.view'],
]],
]];
// L'utilisateur ne détient qu'une des permissions listées => item visible (any).
$out = SidebarFilter::filter($sections, [], [], ['directory.prospects.view']);
self::assertCount(1, $out['sections'][0]['items']);
}
public function testItemWithPermissionArrayIsHiddenWhenNoneGranted(): void
{
$sections = [[
'label' => 's', 'icon' => 'i',
'items' => [[
'label' => 'a', 'to' => '/a', 'icon' => 'i',
'permission' => ['directory.clients.view', 'directory.prospects.view'],
]],
]];
$out = SidebarFilter::filter($sections, [], [], ['reporting.view']);
self::assertSame([], $out['sections']);
}
}