chore: bump version to v0.4.54

Reviewed-on: #34

CLAUDE.md

@@ -129,8 +129,9 @@ La librairie `@malio/layer-ui` fournit les composants de formulaire et d'action.
 ## Déploiement (prod Docker)
 
 - Script : `infra/prod/deploy.sh` (`./deploy.sh [tag]`) — doc complète : `doc/deployment-docker.md`
-- Étapes : maintenance → pull image → up → migrations → **`app:seed-rbac`** → **`app:sync-permissions`** → cache clear/warmup
+- Étapes : maintenance → pull image → up → migrations → **`app:seed-rbac`** → **`app:sync-permissions`** → **`app:assign-default-roles`** → cache clear/warmup
 - **RBAC** : les migrations créent les tables `role`/`permission` mais **n'insèrent aucune donnée**. Les rôles système (`admin`, `user`) viennent de `app:seed-rbac` (idempotent) et le catalogue des permissions de `app:sync-permissions` (à relancer à chaque ajout de permission). Symptôme si oubliées : page admin Rôles vide (« Aucun rôle trouvé »).
+- **Rattachement au rôle de base** : deux systèmes de rôles coexistent — le legacy `User::$roles` (`ROLE_USER`/`ROLE_ADMIN`, tableau Symfony) et le RBAC `User::$rbacRoles` (table `user_role`). **Aucun pont automatique** : `getEffectivePermissions()` ne lit que les `rbacRoles` + permissions directes. Un user doit donc être **explicitement rattaché** au rôle RBAC « user » pour hériter de ses permissions. C'est garanti automatiquement par `UserDefaultRoleListener` (prePersist, tout nouveau user) et `app:assign-default-roles` (backfill idempotent des users existants, lancé au déploiement). Symptôme si manquant : un non-admin avec des permissions sur le rôle « user » ne voit **rien** car son `effectivePermissions` reste `[]`. Les modifs de permissions d'un rôle sont **instantanées** côté backend (recalcul à chaque requête, sans cache) ; le frontend les reflète au prochain chargement de page (cache de session Pinia).
 
 ## Fixtures
 

config/services.yaml

@@ -129,6 +129,10 @@ services:
         tags:
             - { name: doctrine.orm.entity_listener, entity: 'App\Module\ProjectManagement\Domain\Entity\Project', event: prePersist }
 
+    App\Module\Core\Infrastructure\EventListener\UserDefaultRoleListener:
+        tags:
+            - { name: doctrine.orm.entity_listener, entity: 'App\Module\Core\Domain\Entity\User', event: prePersist }
+
     App\Module\Directory\Infrastructure\ApiPlatform\State\ReportDocumentProcessor:
         arguments:
             $uploadDir: '%task_document_upload_dir%'

config/sidebar.php

@@ -38,12 +38,16 @@ return [
         ],
     ],
     [
+        // Plus de gate de rôle au niveau section : chaque item porte sa propre
+        // permission (RBAC fin), alignée sur la sécurité backend et les middlewares
+        // de page. La section s'affiche dès qu'au moins un item est autorisé.
         'label' => 'sidebar.admin.section',
         'icon'  => 'mdi:cog-outline',
-        'roles' => ['ROLE_ADMIN'],
         'items' => [
-            ['label' => 'sidebar.admin.teamAbsences', 'to' => '/team-absences', 'icon' => 'mdi:calendar-account-outline', 'module' => 'absence'],
+            // team-absences : le module Absence est encore gardé par ROLE_ADMIN côté
-            ['label' => 'sidebar.admin.directory', 'to' => '/directory', 'icon' => 'mdi:card-account-details-outline', 'module' => 'directory'],
+            // backend (pas de permission absence.* câblée) → on reste sur un gate de rôle.
+            ['label' => 'sidebar.admin.teamAbsences', 'to' => '/team-absences', 'icon' => 'mdi:calendar-account-outline', 'module' => 'absence', 'roles' => ['ROLE_ADMIN']],
+            ['label' => 'sidebar.admin.directory', 'to' => '/directory', 'icon' => 'mdi:card-account-details-outline', 'module' => 'directory', 'permission' => ['directory.clients.view', 'directory.prospects.view', 'directory.providers.view']],
             ['label' => 'sidebar.admin.reporting', 'to' => '/reporting', 'icon' => 'mdi:chart-line', 'module' => 'reporting', 'permission' => 'reporting.view'],
             ['label' => 'sidebar.admin.administration', 'to' => '/admin', 'icon' => 'mdi:cog-outline', 'permission' => 'core.users.view'],
         ],

config/version.yaml

@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.4.48'
+    app.version: '0.4.54'

docs/mail-integration.md

@@ -23,10 +23,14 @@
 > 7. 139 connexions IMAP (une/dossier) → throttling OVH → réutilisation d'1 connexion (`closeConnection()` sur l'interface) + reconnexion ciblée après dossier en erreur.
 > - Contrat front/back réaligné dans `frontend/services/mail.ts` (route `/mail/folders/{path}/messages`, mapping `messages→items`, `fromAddress→fromEmail`, détail plat→imbriqué).
 >
+> ### Bugs corrigés 2026-06-29 (spam GlitchTip `syncFolder[...] listMessages failed: Folder ... not found`)
+> Deux causes racines, ~170 erreurs/cycle (toutes les 10 min) sur la prod :
+> 1. **Double-encodage UTF7-IMAP** : `listFolders()` stocke `$folder->path` = nom **brut UTF7-IMAP** (webklex `Folder::$path`). `ImapMailProvider` appelait ensuite `$client->getFolder($path)` qui ré-encode UTF8→UTF7-IMAP (`Client::getFolderByPath`, `$utf7=false`) → le `&` (shift UTF7) est ré-encodé → dossiers à accents/specials introuvables. **Fix** : `getFolder($path, null, utf7: true)` partout dans `ImapMailProvider` (les paths sont déjà UTF7-IMAP). Résout les ~7 dossiers à encodage spécial qui étaient « skippés ».
+> 2. **Dossiers fantômes jamais purgés** : `syncFolderStructure()` gardait en DB les dossiers disparus du serveur (Trash vidé, dossiers RH supprimés) → re-tentés à chaque cycle → `listMessages` → "not found" → log error en boucle. **Fix** : `syncFolderStructure()` retourne le set des chemins **présents sur le serveur** ; `doSyncAll()` skip silencieusement les dossiers DB absents de ce set (gardés en DB pour les liens messages/tâches, mais plus synchronisés). Si `listFolders` échoue (retour `null`), fallback = sync de tous les dossiers connus (comportement historique).
+>
 > ### Points en suspens / à savoir
 > - **Mise à jour auto** = cron OS lançant `make mail-sync` toutes les 10 min (cf `docs/mail-cron-setup.md`). **Pas configuré en dev** — lancer à la main.
 > - **Bouton "Actualiser"** : dispatch async Messenger (`MailSyncRequested → async`). Sans worker `messenger:consume async` qui tourne, les demandes s'empilent sans s'exécuter. En prod : supervisor. En dev : lancer un worker.
-> - **~7 dossiers/139** à encodage spécial (ex: `INBOX/RH/.../SÉBASTIEN` en UTF7-modifié) ou réponses vides sont skippés proprement et réessayés au cycle suivant. Edge case webklex non bloquant.
 > - **Dépendance** : `webklex/php-imap ^6.2` tire des paquets Laravel (`illuminate/*` via `carbon ^3`) dans ce projet Symfony — fonctionnel mais à valider en review.
 > - 6 PHPUnit Notices (mocks sans expectations) non bloquantes.
 >

frontend/app/layouts/default.vue

@@ -60,13 +60,16 @@ const { sections } = useSidebar()
 
 const isEmployee = computed(() => Boolean(auth.user?.isEmployee))
 
-const isMailVisible = computed(() => {
+const { can } = usePermissions()
-    const roles: string[] = auth.user?.roles ?? []
+
-    return roles.includes('ROLE_USER') || roles.includes('ROLE_ADMIN')
+// L'onglet Messagerie est rendu côté layout (hors sidebar backend) : il faut donc
-})
+// reproduire ici le gate de permission. ROLE_ADMIN bypasse via can().
+const isMailVisible = computed(() => can('mail.access'))
 
 const { enabled: shareEnabled, ensureLoaded: ensureShareStatus } = useShareStatus()
-const isDocumentsVisible = computed(() => shareEnabled.value === true)
+// Documents = explorateur de partage : visible si le module est actif ET la
+// permission d'accès au partage est accordée (alignement avec le middleware de page).
+const isDocumentsVisible = computed(() => shareEnabled.value === true && can('integration.share.access'))
 
 const currentProjectId = computed(() => {
     const match = route.path.match(/^\/projects\/(\d+)/)

frontend/app/middleware/permission.ts

@@ -0,0 +1,23 @@
+export default defineNuxtRouteMiddleware((to) => {
+    const auth = useAuthStore()
+
+    if (!auth.isAuthenticated) {
+        return navigateTo('/login')
+    }
+
+    // Gate the route on the RBAC permission(s) declared via definePageMeta.
+    // A string requires that single permission; an array requires ANY of them.
+    // ROLE_ADMIN bypasses everything through usePermissions().can().
+    const required = to.meta.permission
+
+    if (required === undefined) {
+        return
+    }
+
+    const { canAny } = usePermissions()
+    const codes = Array.isArray(required) ? required : [required]
+
+    if (!canAny(codes)) {
+        return navigateTo('/')
+    }
+})

frontend/app/types/page-meta.d.ts

@@ -0,0 +1,16 @@
+// Augments Nuxt page meta with the RBAC permission gate consumed by the
+// `permission` route middleware. A string requires that single permission;
+// an array requires ANY of the listed permissions.
+declare module '#app' {
+    interface PageMeta {
+        permission?: string | string[]
+    }
+}
+
+declare module 'vue-router' {
+    interface RouteMeta {
+        permission?: string | string[]
+    }
+}
+
+export {}

frontend/modules/directory/pages/directory/clients/[id].vue

@@ -136,7 +136,7 @@ import type { Client } from '~/modules/directory/services/dto/client'
 import { useClientService } from '~/modules/directory/services/clients'
 import { isValidEmail, isValidFrPhone, isValidUrl } from '~/modules/directory/utils/validation'
 
-definePageMeta({ middleware: ['admin'] })
+definePageMeta({ middleware: ['permission'], permission: 'directory.clients.view' })
 
 const route = useRoute()
 const router = useRouter()

frontend/modules/directory/pages/directory/index.vue

@@ -210,7 +210,7 @@ import type { Prestataire } from '~/modules/directory/services/dto/prestataire'
 import { usePrestataireService } from '~/modules/directory/services/prestataires'
 import { readHistoryTab, stampHistoryTab } from '~/utils/historyTab'
 
-definePageMeta({ middleware: ['admin'] })
+definePageMeta({ middleware: ['permission'], permission: ['directory.clients.view', 'directory.prospects.view', 'directory.providers.view'] })
 
 type ProspectRow = Prospect
 

frontend/modules/directory/pages/directory/prestataires/[id].vue

@@ -136,7 +136,7 @@ import type { Prestataire } from '~/modules/directory/services/dto/prestataire'
 import { usePrestataireService } from '~/modules/directory/services/prestataires'
 import { isValidEmail, isValidFrPhone, isValidUrl } from '~/modules/directory/utils/validation'
 
-definePageMeta({ middleware: ['admin'] })
+definePageMeta({ middleware: ['permission'], permission: 'directory.providers.view' })
 
 const route = useRoute()
 const router = useRouter()

frontend/modules/directory/pages/directory/prospects/[id].vue

@@ -158,7 +158,7 @@ import type { Prospect, ProspectStatus } from '~/modules/directory/services/dto/
 import { useProspectService } from '~/modules/directory/services/prospects'
 import { isValidEmail, isValidFrPhone, isValidUrl } from '~/modules/directory/utils/validation'
 
-definePageMeta({ middleware: ['admin'] })
+definePageMeta({ middleware: ['permission'], permission: 'directory.prospects.view' })
 
 const route = useRoute()
 const router = useRouter()

frontend/modules/mail/pages/mail.vue

@@ -6,6 +6,7 @@ const { t } = useI18n()
 const router = useRouter()
 const route = useRoute()
 
+definePageMeta({ middleware: ['permission'], permission: 'mail.access' })
 useHead({ title: t('mail.title') })
 
 // ─── Store ────────────────────────────────────────────────────────────────

frontend/modules/reporting/pages/reporting.vue

@@ -206,7 +206,7 @@ import type { UserData } from '~/services/dto/user-data'
 import { useProjectService } from '~/modules/project-management/services/projects'
 import { useUserService } from '~/services/users'
 
-definePageMeta({ middleware: ['admin'] })
+definePageMeta({ middleware: ['permission'], permission: 'reporting.view' })
 
 const { t } = useI18n()
 useHead({ title: t('reporting.title') })

frontend/pages/admin.vue

@@ -40,7 +40,7 @@
 </template>
 
 <script setup lang="ts">
-definePageMeta({ middleware: ['admin'] })
+definePageMeta({ middleware: ['permission'], permission: 'core.users.view' })
 useHead({ title: 'Administration' })
 
 const { can } = usePermissions()

frontend/pages/documents.vue

@@ -85,6 +85,7 @@ import type { Breadcrumb, FileEntry } from '~/modules/integration/services/dto/s
 import { useShareService } from '~/modules/integration/services/share'
 import { formatFileSize } from '~/utils/format'
 
+definePageMeta({ middleware: ['permission'], permission: 'integration.share.access' })
 useHead({ title: 'Documents' })
 
 const { browse, search } = useShareService()

infra/prod/deploy.sh

@@ -33,6 +33,9 @@ sudo docker compose exec -T -u www-data app php bin/console app:seed-rbac
 echo "==> Syncing RBAC permissions catalog..."
 sudo docker compose exec -T -u www-data app php bin/console app:sync-permissions
 
+echo "==> Assigning base RBAC role 'user' to users missing it (idempotent)..."
+sudo docker compose exec -T -u www-data app php bin/console app:assign-default-roles
+
 echo "==> Clearing cache..."
 sudo docker compose exec -T -u www-data app php bin/console cache:clear --env=prod
 sudo docker compose exec -T -u www-data app php bin/console cache:warmup --env=prod

src/DataFixtures/AppFixtures.php

@@ -45,6 +45,11 @@ class AppFixtures extends Fixture
 
     public function load(ObjectManager $manager): void
     {
+        // Seed des rôles système RBAC (admin, user) AVANT toute création d'utilisateur :
+        // UserDefaultRoleListener (prePersist) rattache le rôle « user » à chaque user,
+        // le rôle doit donc déjà exister en base au moment du persist().
+        $this->rbacSeeder->ensureSystemRoles();
+
         // Users
         $admin = new User();
         $admin->setUsername('admin');
@@ -826,9 +831,5 @@ class AppFixtures extends Fixture
         $manager->persist($pendingMarriage);
 
         $manager->flush();
-
-        // Seed des rôles système RBAC (admin, user). Idempotent ; aucune matrice
-        // métier attachée (cf. Décision 4 : les modules métier arrivent en 2.x).
-        $this->rbacSeeder->ensureSystemRoles();
     }
 }

src/Module/Core/Application/Rbac/DefaultUserRoleAssigner.php

@@ -0,0 +1,76 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Core\Application\Rbac;
+
+use App\Module\Core\Domain\Entity\User;
+use App\Module\Core\Domain\Repository\RoleRepositoryInterface;
+use App\Module\Core\Domain\Security\SystemRoles;
+use Doctrine\ORM\EntityManagerInterface;
+
+use function count;
+
+/**
+ * Garantit que chaque utilisateur porte le rôle RBAC de base « user ».
+ *
+ * Le rôle « user » est le socle commun : il porte les permissions par défaut
+ * des non-admins. Sans rattachement explicite dans user_role,
+ * User::getEffectivePermissions() reste vide — le ROLE_USER legacy n'a aucun
+ * lien avec le rôle RBAC « user ».
+ */
+final readonly class DefaultUserRoleAssigner
+{
+    public function __construct(
+        private RoleRepositoryInterface $roles,
+        private EntityManagerInterface $em,
+    ) {}
+
+    /**
+     * Ajoute le rôle « user » à l'utilisateur s'il ne l'a pas déjà.
+     * Ne flush pas : appelé en prePersist (création) ou par le backfill.
+     */
+    public function ensureDefaultRole(User $user): void
+    {
+        $userRole = $this->roles->findByCode(SystemRoles::USER_CODE);
+        if (null === $userRole) {
+            // Rôle non seedé : dégradation gracieuse, on ne bloque pas la création.
+            return;
+        }
+
+        foreach ($user->getRbacRoles() as $role) {
+            if (SystemRoles::USER_CODE === $role->getCode()) {
+                return;
+            }
+        }
+
+        $user->addRbacRole($userRole);
+    }
+
+    /**
+     * Rattache le rôle « user » à tous les utilisateurs qui ne l'ont pas.
+     * Idempotent. Retourne le nombre d'utilisateurs modifiés.
+     */
+    public function backfill(): int
+    {
+        $userRole = $this->roles->findByCode(SystemRoles::USER_CODE);
+        if (null === $userRole) {
+            return 0;
+        }
+
+        /** @var list<User> $users */
+        $users = $this->em
+            ->createQuery('SELECT u FROM '.User::class.' u WHERE :role NOT MEMBER OF u.rbacRoles')
+            ->setParameter('role', $userRole)
+            ->getResult()
+        ;
+
+        foreach ($users as $user) {
+            $user->addRbacRole($userRole);
+        }
+
+        $this->em->flush();
+
+        return count($users);
+    }
+}

src/Module/Core/Infrastructure/Console/AssignDefaultRolesCommand.php

@@ -0,0 +1,35 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Core\Infrastructure\Console;
+
+use App\Module\Core\Application\Rbac\DefaultUserRoleAssigner;
+use Symfony\Component\Console\Attribute\AsCommand;
+use Symfony\Component\Console\Command\Command;
+use Symfony\Component\Console\Input\InputInterface;
+use Symfony\Component\Console\Output\OutputInterface;
+use Symfony\Component\Console\Style\SymfonyStyle;
+
+use function sprintf;
+
+#[AsCommand(
+    name: 'app:assign-default-roles',
+    description: 'Rattache le rôle RBAC de base « user » à tous les utilisateurs qui ne l\'ont pas.',
+)]
+final class AssignDefaultRolesCommand extends Command
+{
+    public function __construct(private readonly DefaultUserRoleAssigner $assigner)
+    {
+        parent::__construct();
+    }
+
+    protected function execute(InputInterface $input, OutputInterface $output): int
+    {
+        $io    = new SymfonyStyle($input, $output);
+        $count = $this->assigner->backfill();
+        $io->success(sprintf('%d utilisateur(s) rattaché(s) au rôle « user ».', $count));
+
+        return Command::SUCCESS;
+    }
+}

src/Module/Core/Infrastructure/EventListener/UserDefaultRoleListener.php

@@ -0,0 +1,26 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Core\Infrastructure\EventListener;
+
+use App\Module\Core\Application\Rbac\DefaultUserRoleAssigner;
+use App\Module\Core\Domain\Entity\User;
+use Doctrine\ORM\Event\PrePersistEventArgs;
+
+/**
+ * Assigne le rôle RBAC de base « user » à tout nouvel utilisateur qui n'en a pas,
+ * quel que soit le chemin de persistance (API Platform, fixtures, MCP).
+ *
+ * Sans ça, un user créé n'est rattaché à aucun rôle RBAC et ses permissions
+ * effectives restent vides, peu importe les permissions portées par le rôle.
+ */
+final readonly class UserDefaultRoleListener
+{
+    public function __construct(private DefaultUserRoleAssigner $assigner) {}
+
+    public function prePersist(User $user, PrePersistEventArgs $args): void
+    {
+        $this->assigner->ensureDefaultRole($user);
+    }
+}

src/Module/Integration/Infrastructure/ApiPlatform/Resource/BookStackShelf.php

@@ -15,7 +15,9 @@ use Symfony\Component\Serializer\Attribute\Groups;
             uriTemplate: '/bookstack/shelves',
             normalizationContext: ['groups' => ['bookstack_shelf:read']],
             provider: BookStackShelfProvider::class,
-            security: "is_granted('ROLE_ADMIN')",
+            // Liste toutes les étagères visibles par le token BookStack global :
+            // réservé à qui configure un projet (ProjectDrawer), pas à tout user.
+            security: "is_granted('project-management.projects.manage')",
         ),
     ],
 )]

src/Module/Integration/Infrastructure/ApiPlatform/Resource/GiteaRepository.php

@@ -15,7 +15,9 @@ use Symfony\Component\Serializer\Attribute\Groups;
             uriTemplate: '/gitea/repositories',
             normalizationContext: ['groups' => ['gitea_repo:read']],
             provider: GiteaRepositoryProvider::class,
-            security: "is_granted('ROLE_ADMIN')",
+            // Liste l'intégralité des dépôts visibles par le token Gitea global :
+            // réservé à qui configure un projet (ProjectDrawer), pas à tout user.
+            security: "is_granted('project-management.projects.manage')",
         ),
     ],
 )]

src/Module/Mail/Application/Service/MailSyncService.php

@@ -64,14 +64,22 @@ final class MailSyncService
         }
     }
 
-    public function syncFolderStructure(): void
+    /**
+     * Synchronise the local folder list with the server.
+     *
+     * @return null|array<string, true> the set of folder paths currently present
+     *                                  on the server, or null when the remote list
+     *                                  could not be fetched (the caller then falls
+     *                                  back to syncing every known folder)
+     */
+    public function syncFolderStructure(): ?array
     {
         try {
             $remoteFolders = $this->provider->listFolders();
         } catch (MailProviderException $e) {
             $this->logger->error('syncFolderStructure: listFolders failed: '.$e->getMessage());
 
-            return;
+            return null;
         }
 
         $remotePathSet = [];
@@ -95,16 +103,7 @@ final class MailSyncService
 
         $this->entityManager->flush();
 
-        $allDbFolders = $this->folderRepository->findAllOrderedByPath();
+        return $remotePathSet;
-
-        foreach ($allDbFolders as $dbFolder) {
-            if (!isset($remotePathSet[$dbFolder->getPath()])) {
-                $this->logger->warning(sprintf(
-                    'syncFolderStructure: folder "%s" no longer exists on server — keeping in DB for safety',
-                    $dbFolder->getPath()
-                ));
-            }
-        }
     }
 
     public function syncFolder(MailFolder $folder): MailSyncReport
@@ -259,7 +258,7 @@ final class MailSyncService
 
     private function doSyncAll(DateTimeImmutable $startedAt): MailSyncReport
     {
-        $this->syncFolderStructure();
+        $remotePathSet = $this->syncFolderStructure();
 
         $totalCreated = 0;
         $totalUpdated = 0;
@@ -270,6 +269,13 @@ final class MailSyncService
         $folders = $this->folderRepository->findAllOrderedByPath();
 
         foreach ($folders as $folder) {
+            // Skip folders that no longer exist on the server. They are kept in
+            // the DB (linked messages and tasks still reference them) but retrying
+            // listMessages every cycle only floods the logs with "Folder not found".
+            if (null !== $remotePathSet && !isset($remotePathSet[$folder->getPath()])) {
+                continue;
+            }
+
             try {
                 $report = $this->syncFolder($folder);
                 $totalCreated += $report->createdCount;

src/Module/Mail/Infrastructure/Imap/ImapMailProvider.php

@@ -103,7 +103,11 @@ final class ImapMailProvider implements MailProviderInterface
         $client = $this->getClient();
 
         try {
-            $folder = $client->getFolder($folderPath);
+            // Folder paths are stored exactly as the server returns them (raw
+            // UTF7-IMAP). Pass utf7: true so webklex matches them as-is instead of
+            // re-encoding UTF8 -> UTF7-IMAP, which double-encodes the "&" shift
+            // character and makes folders with accents/specials unresolvable.
+            $folder = $client->getFolder($folderPath, null, true);
             if (null === $folder) {
                 throw MailProviderException::operationFailed('listMessages', sprintf('Folder %s not found', $folderPath));
             }
@@ -138,7 +142,7 @@ final class ImapMailProvider implements MailProviderInterface
         $client = $this->getClient();
 
         try {
-            $folder = $client->getFolder($folderPath);
+            $folder = $client->getFolder($folderPath, null, true);
             if (null === $folder) {
                 throw MailProviderException::operationFailed('fetchMessage', sprintf('Folder %s not found', $folderPath));
             }
@@ -183,7 +187,7 @@ final class ImapMailProvider implements MailProviderInterface
         $client = $this->getClient();
 
         try {
-            $folder = $client->getFolder($folderPath);
+            $folder = $client->getFolder($folderPath, null, true);
             if (null === $folder) {
                 throw MailProviderException::operationFailed('markRead', sprintf('Folder %s not found', $folderPath));
             }
@@ -213,7 +217,7 @@ final class ImapMailProvider implements MailProviderInterface
         $client = $this->getClient();
 
         try {
-            $folder = $client->getFolder($folderPath);
+            $folder = $client->getFolder($folderPath, null, true);
             if (null === $folder) {
                 throw MailProviderException::operationFailed('markFlagged', sprintf('Folder %s not found', $folderPath));
             }
@@ -243,7 +247,7 @@ final class ImapMailProvider implements MailProviderInterface
         $client = $this->getClient();
 
         try {
-            $folder = $client->getFolder($folderPath);
+            $folder = $client->getFolder($folderPath, null, true);
             if (null === $folder) {
                 throw MailProviderException::operationFailed('moveMessage', sprintf('Folder %s not found', $folderPath));
             }
@@ -269,7 +273,7 @@ final class ImapMailProvider implements MailProviderInterface
         $client = $this->getClient();
 
         try {
-            $folder = $client->getFolder($folderPath);
+            $folder = $client->getFolder($folderPath, null, true);
             if (null === $folder) {
                 throw MailProviderException::operationFailed('fetchAttachment', sprintf('Folder %s not found', $folderPath));
             }

src/Shared/Domain/Sidebar/SidebarFilter.php

@@ -7,7 +7,7 @@ namespace App\Shared\Domain\Sidebar;
 final class SidebarFilter
 {
     /**
-     * @param list<array{label:string, icon:string, roles?:list<string>, permission?:string, items: list<array{label:string, to:string, icon:string, module?:string, roles?:list<string>, permission?:string}>}> $sections
+     * @param list<array{label:string, icon:string, roles?:list<string>, permission?:list<string>|string, items: list<array{label:string, to:string, icon:string, module?:string, roles?:list<string>, permission?:list<string>|string}>}> $sections
      * @param list<string>                                                                                                                                                                                                                 $activeModuleIds
      * @param list<string>                                                                                                                                                                                                                 $activeRoles
      * @param list<string>                                                                                                                                                                                                                 $activePermissions
@@ -81,14 +81,21 @@ final class SidebarFilter
     }
 
     /**
+     * @param null|list<string>|string $required          une permission (string) ou un ensemble (any)
      * @param list<string>             $activePermissions
      */
-    private static function permissionSatisfied(?string $required, array $activePermissions): bool
+    private static function permissionSatisfied(array|string|null $required, array $activePermissions): bool
     {
-        if (null === $required || '' === $required) {
+        if (null === $required || '' === $required || [] === $required) {
             return true;
         }
 
-        return in_array($required, $activePermissions, true);
+        foreach ((array) $required as $code) {
+            if (in_array($code, $activePermissions, true)) {
+                return true;
+            }
+        }
+
+        return false;
     }
 }

tests/Functional/Module/Core/AssignDefaultRolesCommandTest.php

@@ -0,0 +1,58 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Functional\Module\Core;
+
+use App\Module\Core\Application\Rbac\RbacSeeder;
+use App\Module\Core\Domain\Entity\User;
+use App\Module\Core\Domain\Security\SystemRoles;
+use Doctrine\ORM\EntityManagerInterface;
+use Symfony\Bundle\FrameworkBundle\Console\Application;
+use Symfony\Bundle\FrameworkBundle\Test\KernelTestCase;
+use Symfony\Component\Console\Tester\CommandTester;
+
+use function array_map;
+use function uniqid;
+
+/**
+ * @internal
+ */
+final class AssignDefaultRolesCommandTest extends KernelTestCase
+{
+    public function testBackfillLinksUsersMissingTheUserRole(): void
+    {
+        $kernel = self::bootKernel();
+        $em     = self::getContainer()->get(EntityManagerInterface::class);
+        self::getContainer()->get(RbacSeeder::class)->ensureSystemRoles();
+
+        // Crée un user puis simule l'état « legacy » (aucun rôle RBAC) en retirant
+        // le rôle « user » auto-assigné à la création.
+        $user = new User();
+        $user->setUsername('backfill-'.uniqid());
+        $user->setPassword('x');
+        $em->persist($user);
+        $em->flush();
+        foreach ($user->getRbacRoles()->toArray() as $role) {
+            $user->removeRbacRole($role);
+        }
+        $em->flush();
+        $id = $user->getId();
+        $em->clear();
+
+        $before = $em->getRepository(User::class)->find($id);
+        self::assertInstanceOf(User::class, $before);
+        self::assertCount(0, $before->getRbacRoles(), 'Précondition : le user ne doit avoir aucun rôle RBAC.');
+        $em->clear();
+
+        $tester = new CommandTester(new Application($kernel)->find('app:assign-default-roles'));
+        $tester->execute([]);
+        $tester->assertCommandIsSuccessful();
+
+        $em->clear();
+        $after = $em->getRepository(User::class)->find($id);
+        self::assertInstanceOf(User::class, $after);
+        $codes = array_map(static fn ($role) => $role->getCode(), $after->getRbacRoles()->toArray());
+        self::assertContains(SystemRoles::USER_CODE, $codes, 'Le backfill doit rattacher le rôle « user ».');
+    }
+}

tests/Functional/Module/Core/UserDefaultRoleListenerTest.php

@@ -0,0 +1,45 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Functional\Module\Core;
+
+use App\Module\Core\Application\Rbac\RbacSeeder;
+use App\Module\Core\Domain\Entity\User;
+use App\Module\Core\Domain\Security\SystemRoles;
+use Doctrine\ORM\EntityManagerInterface;
+use Symfony\Bundle\FrameworkBundle\Test\KernelTestCase;
+
+use function array_map;
+use function uniqid;
+
+/**
+ * @internal
+ */
+final class UserDefaultRoleListenerTest extends KernelTestCase
+{
+    public function testNewUserReceivesDefaultUserRole(): void
+    {
+        $kernel = self::bootKernel();
+        $em     = self::getContainer()->get(EntityManagerInterface::class);
+        self::getContainer()->get(RbacSeeder::class)->ensureSystemRoles();
+
+        $user = new User();
+        $user->setUsername('listener-'.uniqid());
+        $user->setPassword('x');
+        $em->persist($user);
+        $em->flush();
+        $id = $user->getId();
+
+        $em->clear();
+        $reloaded = $em->getRepository(User::class)->find($id);
+        self::assertInstanceOf(User::class, $reloaded);
+
+        $codes = array_map(static fn ($role) => $role->getCode(), $reloaded->getRbacRoles()->toArray());
+        self::assertContains(
+            SystemRoles::USER_CODE,
+            $codes,
+            'Un utilisateur fraîchement créé doit être rattaché au rôle RBAC de base « user ».',
+        );
+    }
+}

tests/Unit/Service/MailSyncServiceTest.php

@@ -132,6 +132,69 @@ class MailSyncServiceTest extends TestCase
         $service->syncFolderStructure();
     }
 
+    public function testSyncAllSkipsFoldersNoLongerPresentOnServer(): void
+    {
+        $config = new MailConfiguration();
+        $config->setEnabled(true);
+
+        $configRepo = $this->createMock(MailConfigurationRepositoryInterface::class);
+        $configRepo->method('findSingleton')->willReturn($config);
+
+        // The server only exposes INBOX; "Trash/STALE" was deleted remotely but
+        // still lingers in the DB.
+        $inboxDto = new MailFolderDto(
+            path: 'INBOX',
+            displayName: 'Inbox',
+            parentPath: null,
+            unreadCount: 0,
+            totalCount: 0,
+        );
+
+        $inboxFolder = new MailFolder();
+        $inboxFolder->setPath('INBOX');
+
+        $staleFolder = new MailFolder();
+        $staleFolder->setPath('Trash/STALE');
+
+        $provider = $this->createMock(MailProviderInterface::class);
+        $provider->method('listFolders')->willReturn([$inboxDto]);
+        // listMessages must only ever be called for INBOX, never the stale folder.
+        $provider->expects(self::once())
+            ->method('listMessages')
+            ->with('INBOX', 5000, 0)
+            ->willReturn([])
+        ;
+
+        $folderRepo = $this->createMock(MailFolderRepositoryInterface::class);
+        $folderRepo->method('findByPath')->willReturn($inboxFolder);
+        $folderRepo->method('findAllOrderedByPath')->willReturn([$inboxFolder, $staleFolder]);
+
+        $messageRepo = $this->createMock(MailMessageRepositoryInterface::class);
+        $messageRepo->method('findMaxUidInFolder')->willReturn(0);
+        $messageRepo->method('findAllUidsByFolder')->willReturn([]);
+        $messageRepo->method('findLastNByFolder')->willReturn([]);
+
+        $em = $this->createMock(EntityManagerInterface::class);
+        $em->method('isOpen')->willReturn(true);
+        $lockFactory = $this->makeLockFactory();
+
+        $service = new MailSyncService(
+            provider: $provider,
+            configRepository: $configRepo,
+            folderRepository: $folderRepo,
+            messageRepository: $messageRepo,
+            entityManager: $em,
+            lockFactory: $lockFactory,
+            logger: new NullLogger(),
+            managerRegistry: $this->createMock(ManagerRegistry::class),
+        );
+
+        $report = $service->syncAll();
+
+        self::assertSame(1, $report->foldersScanned);
+        self::assertSame([], $report->errors);
+    }
+
     public function testSyncFolderAbortsSuppressionWhenOver50Percent(): void
     {
         $config = new MailConfiguration();

tests/Unit/Shared/Sidebar/SidebarFilterTest.php

@@ -127,4 +127,33 @@ final class SidebarFilterTest extends TestCase
         $out = SidebarFilter::filter($sections, [], [], ['core.users.view']);
         self::assertCount(1, $out['sections'][0]['items']);
     }
+
+    public function testItemWithPermissionArrayIsVisibleWhenAnyGranted(): void
+    {
+        $sections = [[
+            'label' => 's', 'icon' => 'i',
+            'items' => [[
+                'label'      => 'a', 'to' => '/a', 'icon' => 'i',
+                'permission' => ['directory.clients.view', 'directory.prospects.view', 'directory.providers.view'],
+            ]],
+        ]];
+
+        // L'utilisateur ne détient qu'une des permissions listées => item visible (any).
+        $out = SidebarFilter::filter($sections, [], [], ['directory.prospects.view']);
+        self::assertCount(1, $out['sections'][0]['items']);
+    }
+
+    public function testItemWithPermissionArrayIsHiddenWhenNoneGranted(): void
+    {
+        $sections = [[
+            'label' => 's', 'icon' => 'i',
+            'items' => [[
+                'label'      => 'a', 'to' => '/a', 'icon' => 'i',
+                'permission' => ['directory.clients.view', 'directory.prospects.view'],
+            ]],
+        ]];
+
+        $out = SidebarFilter::filter($sections, [], [], ['reporting.view']);
+        self::assertSame([], $out['sections']);
+    }
 }