fix(rbac) : rattache le rôle de base « user » et gate le frontend par permission
Un user avec des permissions sur le rôle RBAC « user » ne voyait rien : le
ROLE_USER legacy n'a aucun lien avec le RBAC et getEffectivePermissions() ne lit
que rbacRoles + permissions directes, alors qu'aucun user n'était rattaché au
rôle « user » (table user_role vide, jamais backfillée).
Backend
- DefaultUserRoleAssigner + UserDefaultRoleListener (prePersist) : tout nouvel
utilisateur est rattaché au rôle « user » sur tous les chemins de persistance.
- Commande app:assign-default-roles (backfill idempotent) + ajout au deploy.sh.
- AppFixtures : seed des rôles système avant la création des users.
Frontend (gating par permission au lieu de ROLE_ADMIN legacy)
- Nouveau middleware « permission » + augmentation PageMeta : definePageMeta
({ permission }) (string = requise, array = any), ROLE_ADMIN bypasse.
- Pages directory/reporting/admin gatées par permission ; SidebarFilter accepte
une liste de permissions (any) ; section admin sans gate de rôle.
- team-absences reste en ROLE_ADMIN (module Absence non RBAC-isé côté backend).
This commit is contained in:
Matthieu
@@ -0,0 +1,58 @@
|
||||
<?php
|
||||
|
||||
declare(strict_types=1);
|
||||
|
||||
namespace App\Tests\Functional\Module\Core;
|
||||
|
||||
use App\Module\Core\Application\Rbac\RbacSeeder;
|
||||
use App\Module\Core\Domain\Entity\User;
|
||||
use App\Module\Core\Domain\Security\SystemRoles;
|
||||
use Doctrine\ORM\EntityManagerInterface;
|
||||
use Symfony\Bundle\FrameworkBundle\Console\Application;
|
||||
use Symfony\Bundle\FrameworkBundle\Test\KernelTestCase;
|
||||
use Symfony\Component\Console\Tester\CommandTester;
|
||||
|
||||
use function array_map;
|
||||
use function uniqid;
|
||||
|
||||
/**
|
||||
* @internal
|
||||
*/
|
||||
final class AssignDefaultRolesCommandTest extends KernelTestCase
|
||||
{
|
||||
public function testBackfillLinksUsersMissingTheUserRole(): void
|
||||
{
|
||||
$kernel = self::bootKernel();
|
||||
$em = self::getContainer()->get(EntityManagerInterface::class);
|
||||
self::getContainer()->get(RbacSeeder::class)->ensureSystemRoles();
|
||||
|
||||
// Crée un user puis simule l'état « legacy » (aucun rôle RBAC) en retirant
|
||||
// le rôle « user » auto-assigné à la création.
|
||||
$user = new User();
|
||||
$user->setUsername('backfill-'.uniqid());
|
||||
$user->setPassword('x');
|
||||
$em->persist($user);
|
||||
$em->flush();
|
||||
foreach ($user->getRbacRoles()->toArray() as $role) {
|
||||
$user->removeRbacRole($role);
|
||||
}
|
||||
$em->flush();
|
||||
$id = $user->getId();
|
||||
$em->clear();
|
||||
|
||||
$before = $em->getRepository(User::class)->find($id);
|
||||
self::assertInstanceOf(User::class, $before);
|
||||
self::assertCount(0, $before->getRbacRoles(), 'Précondition : le user ne doit avoir aucun rôle RBAC.');
|
||||
$em->clear();
|
||||
|
||||
$tester = new CommandTester(new Application($kernel)->find('app:assign-default-roles'));
|
||||
$tester->execute([]);
|
||||
$tester->assertCommandIsSuccessful();
|
||||
|
||||
$em->clear();
|
||||
$after = $em->getRepository(User::class)->find($id);
|
||||
self::assertInstanceOf(User::class, $after);
|
||||
$codes = array_map(static fn ($role) => $role->getCode(), $after->getRbacRoles()->toArray());
|
||||
self::assertContains(SystemRoles::USER_CODE, $codes, 'Le backfill doit rattacher le rôle « user ».');
|
||||
}
|
||||
}
|
||||
Reference in New Issue
Block a user