docs : log LST-62 socle front session learnings

feat(front) : add sidebar i18n labels
feat(front) : render dynamic sidebar from /api/sidebar in default layout
2026-06-19 15:37:03 +02:00 · 2026-06-19 15:33:59 +02:00 · 2026-06-19 15:32:23 +02:00 · 2026-06-19 15:28:16 +02:00 · 2026-06-19 15:25:39 +02:00 · 2026-06-19 15:24:57 +02:00
50 changed files with 3690 additions and 154 deletions
@@ -54,8 +54,49 @@
 - **Pattern**: Retirer de composer.json + bundles.php + supprimer config YAML + templates
 - **Learning**: API Platform ne requiert PAS twig, c'est juste suggéré pour Swagger UI
 ## Session 2026-06-19 (LST-56 / 0.1 — Socle back modular monolith)
 ### Contexte
 - Ticket exécuté via plan TDD dédié (`docs/superpowers/plans/2026-06-19-lst-56-socle-back.md`) délégué à un sous-agent (contexte isolé), pilotage MCP/chrono/vérif depuis la session principale.
 - 4 tâches, 14 nouveaux tests (110 total, 216 assertions, vert), 4 commits (un par tâche).
 ### Patterns
 - **Strangler 100 % additif** : nouveau noyau `src/Shared/` (Domain/Contract, Domain/Module, Domain/Sidebar, Domain/Trait, Application, Infrastructure/{ApiPlatform,Doctrine,Security,Database}) sans toucher au métier — `make test` reste vert sans migration.
 - **Endpoints DTO purs** : logique métier dans classes pures testées unitairement (`ModuleRegistry`, `SidebarFilter`), exposées par Providers API Platform minces (`ModulesProvider`/`SidebarProvider`) sur des Resources DTO.
 - **resolve_target_entities** : contrat `Shared\Domain\Contract\UserInterface` mappé sur `App\Entity\User` (sera re-pointé vers `Module\Core\User` en 1.1). Inert tant qu'aucune entité n'utilise le trait.
 ### Gotchas
 - **API Platform 4 découvre les Resources sous `src/Shared/...` sans config `mapping.paths`** — le 404 anticipé dans le plan ne s'est pas produit, aucun ajout dans `api_platform.yaml` nécessaire.
 - **Hook pre-commit php-cs-fixer** normalise le style du code fourni dans le plan : `\DateTimeImmutable`→`DateTimeImmutable` importé, FQN→`use`, `static::createClient()`→`self::`. Pur style, tests inchangés. Ne pas lutter contre.
 - **`config/reference.php`** : fichier auto-généré qui apparaît modifié dans `git status` — ne jamais le committer.
 ### Time tracking
 - Le sous-agent a stoppé lui-même le timer d'implémentation (id 1005, 35 min) — garder le time-tracking sur la session principale pour rester maître du chrono si un sous-agent a accès aux tools MCP lesstime.
 ## Session 2026-06-19 (LST-62 / 0.2 — Socle front : shell + auto-détection layers Nuxt)
 ### Contexte
 - Plan TDD dédié (`docs/superpowers/plans/2026-06-19-lst-62-socle-front.md`), 7 tasks. Exécution en 3 sous-agents (Task 1 back ; Tasks 2-4 fondations front ; Tasks 5-7 middlewares/layout/i18n), pilotage chrono/MCP/vérif sur la session principale.
 - 7 commits + 1 commit doc de correction du plan. Back : 115 tests verts (110 + 5 nouveaux cas gate rôle).
 ### Patterns
 - **Gate de rôle additif dans la sidebar** : clé `roles` optionnelle sur section/item dans `config/sidebar.php` ; `SidebarFilter::filter($sections, $activeModuleIds, $activeRoles = [])` masque sans polluer `disabledRoutes` (réservé au filtrage par module). `SidebarProvider` injecte `Symfony\Bundle\SecurityBundle\Security` et passe `array_values($user->getRoles())`. ROLE_ADMIN seulement (pas le RBAC fin, qui viendra en 1.1/1.2).
 - **Layout front aligné Starseed** (vérifié dans le code Starseed) : `srcDir: '.'`, `dir.layouts/middleware → app/`, code transverse auto-importé sous `shared/{composables,stores,utils}` via `imports.dirs` EXPLICITE, scan `readdirSync('modules/')` → `extends` + dossiers `modules/*/composables` ajoutés dynamiquement à `imports.dirs`. `useApi`/`auth`/`ui` déplacés par `git mv` (historique préservé) ; `timer.ts`/`mail.ts` restent dans `stores/` (métier non migré).
 - **Singletons module-level** : `useSidebar`/`useModules` portent leur état en `ref` au niveau module ; reset explicite au logout depuis `auth.global.ts` (l'approche Starseed via callback `onAuthSessionCleared()` est une alternative non retenue ici).
 ### Gotchas
 - **`nuxt typecheck` n'est PAS un gate vert sur ce stack** : le baseline Lesstime est rouge (~230 lignes `error TS`) et la RÉFÉRENCE Starseed (même Nuxt 4.3.1, même layout) ship en prod avec **325 erreurs**. Classes structurelles tolérées : `Cannot find name 'ref'/'useApi'/'useRoute'/'navigateTo'/'defineStore'…` dans `shared/` (Nuxt 4 type `shared/` sous un `tsconfig.shared.json` isolé sans les globals d'auto-import, alors que `imports.dirs` les expose au RUNTIME — vérifié dans `.nuxt/imports.d.ts`), erreurs `nuxt.config.ts` (`node:fs`/`process`/`__dirname`, pas de `@types/node`, compilé au runtime par Nuxt), `useApi.ts` 'Property url'. **Le vrai gate** = zéro `Cannot find module '~/shared/…'` (= vrai import cassé) + auto-imports présents dans `.nuxt/imports.d.ts` + smoke runtime. Un sous-agent consciencieux s'est arrêté à tort sur ces erreurs ("bloqueur irréductible") → toujours vérifier le gate contre la réf Starseed avant de conclure à un blocage.
 - **Vérif backend live > typecheck front** : le gate de rôle a été prouvé via curl réel (`/api/login_check` → cookie BEARER → `GET /api/sidebar`) : `alice` (ROLE_USER) n'a que la section générale, `admin` (ROLE_ADMIN) a Administration, non-auth = 401. Plus fiable que le typecheck sur ce stack.
 - **i18n `fr.json`** : une clé racine `sidebar` préexistait (avec un `myTasks` orphelin) → fusionner les sous-namespaces plutôt que dupliquer la clé racine (JSON invalide sinon).
 ### Statut / time tracking
 - Ticket laissé en **"En attente de validation" (4)**, pas "Terminé" : smoke visuel front (dev server + navigateur) et sign-off du **délta cosmétique d'ordre de sidebar** (décision 3 du plan) relèvent du PO. Implémentation + AC API validés.
 - Time-tracking 100 % sur la session principale cette fois (consigne des sous-agents : ne jamais toucher aux outils `mcp__lesstime__*`) — respecté.
 ## Meta-learnings
 - **Parallélisation**: Les tickets touchant des fichiers indépendants peuvent tourner en parallèle sans problème
 - **Commits concurrents**: NE PAS lancer deux sous-agents qui committent sur le même repo en parallèle (collision `.git/index.lock`) — séquencer.
 - **Gate de vérif fourni par le plan**: si un plan fixe un seuil (ex "typecheck 0 erreur"), le confronter à la réalité du projet/réf AVANT de bloquer dessus ; corriger le plan si le seuil est faux.
 - **MCP status**: Toujours mettre "En cours" AVANT de commencer, "Terminé" APRÈS validation
 - **PostgreSQL gotchas**: Tester les queries SQL avec agrégation + locking sur PostgreSQL, pas MySQL
 - **Agents**: Les agents simples (1-3 fichiers) terminent en ~30s, les complexes (22 fichiers) en ~8min
@@ -0,0 +1,11 @@
 <?php
 declare(strict_types=1);
 /*
 * Liste ordonnée des modules actifs (classes implémentant App\Shared\Domain\Module\ModuleInterface).
 * Activer/désactiver un module = ajouter/commenter sa ligne. Exposé par GET /api/modules.
 */
 return [
    // Aucun module pour l'instant — les modules arrivent à partir du ticket 1.1 (Core).
 ];
@@ -13,6 +13,8 @@ doctrine:
        identity_generation_preferences:
            Doctrine\DBAL\Platforms\PostgreSQLPlatform: identity
        auto_mapping: true
        resolve_target_entities:
            App\Shared\Domain\Contract\UserInterface: App\Entity\User
        mappings:
            App:
                type: attribute
@@ -62,6 +62,8 @@ security:
        - { path: ^/api/docs, roles: PUBLIC_ACCESS }
        # Version de l'application en public
        - { path: ^/api/version, roles: PUBLIC_ACCESS, methods: [ GET ] }
        # Liste des modules actifs en public (consommée au boot du front)
        - { path: ^/api/modules, roles: PUBLIC_ACCESS, methods: [ GET ] }
        - { path: ^/_mcp, roles: PUBLIC_ACCESS, methods: [ GET ] }
        - { path: ^/_mcp, roles: IS_AUTHENTICATED_FULLY }
        # Mail : requiert authentification (le check ROLE_USER est dans MailAccessChecker)
@@ -0,0 +1,34 @@
 <?php
 declare(strict_types=1);
 /*
 * Définition de la sidebar (sections + items) — navigation GLOBALE uniquement.
 * Filtrée par SidebarFilter : `module` (route ajoutée à disabledRoutes si module inactif),
 * `roles` (section ou item masqué si l'utilisateur n'a aucun des rôles listés ; gate minimal,
 * le RBAC fin par permission arrive en #1.2).
 * Les items contextuels (Kanban/Groupes/Archives), feature-flag (Documents, Mail) et user-flag
 * (Mes absences) restent rendus côté layout, hors de cet endpoint.
 * Les labels sont des clés i18n (sidebar.<domaine>.<item>).
 */
 return [
    [
        'label' => 'sidebar.general.section',
        'icon'  => 'mdi:view-dashboard-outline',
        'items' => [
            ['label' => 'sidebar.general.dashboard', 'to' => '/', 'icon' => 'mdi:view-dashboard-outline'],
            ['label' => 'sidebar.general.myTasks', 'to' => '/my-tasks', 'icon' => 'mdi:clipboard-check-outline'],
            ['label' => 'sidebar.general.projects', 'to' => '/projects', 'icon' => 'mdi:folder-outline'],
            ['label' => 'sidebar.general.timeTracking', 'to' => '/time-tracking', 'icon' => 'mdi:calendar-edit-outline'],
        ],
    ],
    [
        'label' => 'sidebar.admin.section',
        'icon'  => 'mdi:cog-outline',
        'roles' => ['ROLE_ADMIN'],
        'items' => [
            ['label' => 'sidebar.admin.teamAbsences', 'to' => '/team-absences', 'icon' => 'mdi:calendar-account-outline'],
            ['label' => 'sidebar.admin.administration', 'to' => '/admin', 'icon' => 'mdi:cog-outline'],
        ],
    ],
 ];
@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.4.28'
+    app.version: '0.4.30'
@@ -0,0 +1,976 @@
 # LST-62 (0.2) — Socle front : shell + auto-détection des layers Nuxt — Implementation Plan
 > **For agentic workers:** REQUIRED SUB-SKILL: Use superpowers:subagent-driven-development (recommended) or superpowers:executing-plans to implement this plan task-by-task. Steps use checkbox (`- [ ]`) syntax for tracking.
 **Goal:** Poser l'ossature frontend modulaire (shell `app/`, code partagé `shared/`, auto-détection des layers `modules/*/`, sidebar dynamique alimentée par `/api/sidebar`, redirection des routes désactivées) **sans déplacer aucune page métier** — l'app reste « plate » et la navigation ne régresse pas.
 **Architecture:** On s'aligne sur le pattern Starseed : `srcDir: '.'`, layouts/middleware sous `frontend/app/`, composables/stores transverses sous `frontend/shared/` (auto-importés via `imports.dirs`), et un scan `readdirSync('modules/')` qui ajoute chaque `modules/*/` à `extends`. Le backend `/api/modules` + `/api/sidebar` existe déjà (LST-56). On ajoute un **gate de rôle minimal** côté `SidebarProvider`/`SidebarFilter` (ROLE_ADMIN) pour préserver la visibilité de l'Administration sans attendre le RBAC fin (#1.2). Les items **contextuels** (Kanban/Groupes/Archives), **feature-flag** (Documents, Mail) et **user-flag** (Mes absences) restent rendus côté layout, hors `/api/sidebar`.
 **Tech Stack:** Nuxt 4.3, Vue 3.5, Pinia 3, @malio/layer-ui 1.7, @nuxtjs/i18n 10, @nuxt/icon — côté back PHP 8.4 / Symfony 8 / API Platform 4 / PHPUnit 13.
 ## Global Constraints
 - **Aucune page métier déplacée** : `frontend/pages/` reste tel quel ; on ne crée AUCUN `frontend/modules/<x>/pages/` peuplé en 0.2 (le dossier `modules/` est créé vide pour le scan).
 - **Zéro régression de navigation** : tous les liens actuels restent atteignables et correctement gardés (admin reste admin-only).
 - **Auto-import Nuxt** : les composants/pages référencent les composables/stores **par nom** (`useApi()`, `useAuthStore()`), jamais par chemin → déplacer un fichier entre deux dossiers auto-scannés est transparent. Toujours le vérifier par un `typecheck` après déplacement.
 - **Commits** : format `<type>(<scope>) : <message>` (espaces autour du `:`). **Jamais** de mention IA/Claude/Anthropic (message, body, trailers).
 - **PHP** : `declare(strict_types=1);` en tête ; tests via `docker exec -t -u www-data php-lesstime-fpm php vendor/bin/phpunit …`.
 - **TS** : strict, 4 espaces d'indentation, pas de `any`.
 - **Pas de migration BDD** dans ce lot (aucune entité touchée).
 ## Décisions de conception (actées avec le PO)
 1. **Gate de rôle minimal côté back** : les items/sections réservés (`/team-absences`, `/admin`) portent une clé `roles` dans `config/sidebar.php` ; `SidebarProvider` passe les rôles de l'utilisateur courant à `SidebarFilter` qui masque ce qui n'est pas autorisé. Ce n'est **pas** le RBAC fin (#1.2) — juste ROLE_ADMIN/ROLE_USER.
 2. **Items contextuels / feature-flag / user-flag hors `/api/sidebar`** : Kanban/Groupes/Archives (contexte `currentProjectId`), Documents (`shareEnabled`), Mail (+ badge non lus), Mes absences (`isEmployee`) restent rendus par le layout comme aujourd'hui.
 3. **Délta cosmétique assumé** : la sidebar dynamique regroupe le Tableau de bord avec « Mes tâches / Projets / Suivi de temps » sous un même en-tête, et le bloc statique (contextuel/flag/Mes absences) s'insère après cette première section. Léger réordonnancement visuel, **à valider**, harmonisé en #60 (Finition Malio). Aucun lien perdu.
 ## Vérification (pas de runner de tests JS dans ce projet)
 - **Back (Task 1)** : vraie TDD PHPUnit.
 - **Front (Tasks 2-7)** : la verif = `typecheck` Nuxt (en LECTURE différentielle, cf. ci-dessous) + smoke test runtime. Commandes :
  - Typecheck : `cd /home/matthieu/dev_malio/Lesstime/frontend && npx nuxt typecheck`
  - Runtime : dev server `make dev-nuxt` (port 3002, proxy `/api` → nginx) ; vérifier manuellement la navigation + `curl` des endpoints via nginx (`http://localhost:8082/api/...`). Les containers sont up.
 > **⚠️ `nuxt typecheck` n'est PAS un gate vert sur ce projet (constat 2026-06-19).** Le baseline Lesstime est déjà rouge (~230 lignes `error TS`), et le projet de référence **Starseed (même Nuxt 4.3.1, même layout `shared/` + `srcDir: '.'`) ship en prod avec 325 erreurs `error TS`**. Ces erreurs sont des classes structurelles attendues, pas des régressions :
 > - dans `shared/composables/*` et `shared/stores/*` : `Cannot find name 'ref'/'useApi'/'useRoute'/'navigateTo'/'defineStore'/'useToast'/'useNuxtApp'…` — Nuxt 4 type le dossier `shared/` sous un `tsconfig.shared.json` isolé sans les globals d'auto-import, alors que `imports.dirs` les rend bien disponibles au RUNTIME (vérifié dans `.nuxt/imports.d.ts`). Starseed a exactement ces 15 erreurs et fonctionne.
 > - dans `nuxt.config.ts` : `node:fs`/`node:path`/`__dirname`/`process` (pas de `@types/node` — comme Starseed) ; ce fichier est compilé par Nuxt au runtime, pas par `tsc`.
 > - dans `useApi.ts` : `Property 'url' does not exist…` (préexistant, code forké de Starseed).
 >
 > **Le vrai gate front** = (1) **ZÉRO erreur `Cannot find module '~/shared/…'` / chemin cassé** (sinon un import a vraiment été cassé par un déplacement) ; (2) les auto-imports attendus présents dans `.nuxt/imports.d.ts` ; (3) smoke runtime sur le dev server. Ne JAMAIS s'arrêter sur les classes d'erreurs structurelles ci-dessus — elles sont identiques à la référence Starseed.
 ---
 ### Task 1: Backend — gate de rôle dans la sidebar (`roles`) + config complète
 **Files:**
 - Modify: `src/Shared/Domain/Sidebar/SidebarFilter.php` (signature + gate `roles`)
 - Modify: `src/Shared/Infrastructure/ApiPlatform/State/SidebarProvider.php` (injecter `Security`, passer les rôles)
 - Modify: `config/sidebar.php` (navigation globale + section Administration gated ROLE_ADMIN ; retrait de `/absences` qui reste client-side)
 - Modify: `tests/Unit/Shared/Sidebar/SidebarFilterTest.php` (adapter à la nouvelle signature + cas `roles`)
 - Modify: `tests/Functional/Shared/SidebarEndpointTest.php` (vérifier le gate admin)
 **Interfaces:**
 - Produces : `SidebarFilter::filter(array $sections, array $activeModuleIds, array $activeRoles = []): array`. Règles ajoutées : une **section** ou un **item** portant une clé `roles` (non vide) n'est conservé que si `$activeRoles` contient au moins un des rôles listés ; sinon la section/l'item est retiré (les `to` des items retirés **par rôle** ne sont PAS ajoutés à `disabledRoutes` — `disabledRoutes` reste réservé au filtrage **par module**, qui pilote la redirection front). Les clés internes `module` et `roles` sont retirées de la sortie.
 - Consumes : `Symfony\Bundle\SecurityBundle\Security` (rôles via `getUser()`).
 - [ ] **Step 1: Adapter le test unitaire existant + ajouter les cas `roles`**
 Remplace INTÉGRALEMENT `tests/Unit/Shared/Sidebar/SidebarFilterTest.php` par :
 ```php
 <?php
 declare(strict_types=1);
 namespace App\Tests\Unit\Shared\Sidebar;
 use App\Shared\Domain\Sidebar\SidebarFilter;
 use PHPUnit\Framework\TestCase;
 /**
 * @internal
 */
 final class SidebarFilterTest extends TestCase
 {
    public function testItemWithoutModuleIsAlwaysVisible(): void
    {
        $sections = [
            ['label' => 'sidebar.core.section', 'icon' => 'mdi:home', 'items' => [
                ['label' => 'sidebar.core.dashboard', 'to' => '/', 'icon' => 'mdi:view-dashboard'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertCount(1, $result['sections']);
        self::assertSame('/', $result['sections'][0]['items'][0]['to']);
        self::assertSame([], $result['disabledRoutes']);
        self::assertArrayNotHasKey('module', $result['sections'][0]['items'][0]);
    }
    public function testItemWithInactiveModuleIsHiddenAndRouteDisabled(): void
    {
        $sections = [
            ['label' => 'sidebar.tt.section', 'icon' => 'mdi:clock', 'items' => [
                ['label' => 'sidebar.tt.timesheet', 'to' => '/time-tracking', 'icon' => 'mdi:clock', 'module' => 'time_tracking'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertSame([], $result['sections']);
        self::assertSame(['/time-tracking'], $result['disabledRoutes']);
    }
    public function testItemWithActiveModuleIsVisible(): void
    {
        $sections = [
            ['label' => 'sidebar.tt.section', 'icon' => 'mdi:clock', 'items' => [
                ['label' => 'sidebar.tt.timesheet', 'to' => '/time-tracking', 'icon' => 'mdi:clock', 'module' => 'time_tracking'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, ['time_tracking'], ['ROLE_USER']);
        self::assertCount(1, $result['sections']);
        self::assertSame('/time-tracking', $result['sections'][0]['items'][0]['to']);
        self::assertSame([], $result['disabledRoutes']);
    }
    public function testSectionWithRolesIsHiddenWhenRoleMissing(): void
    {
        $sections = [
            ['label' => 'sidebar.admin.section', 'icon' => 'mdi:cog', 'roles' => ['ROLE_ADMIN'], 'items' => [
                ['label' => 'sidebar.admin.admin', 'to' => '/admin', 'icon' => 'mdi:cog'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertSame([], $result['sections']);
        // Filtrage par rôle => PAS de disabledRoutes (réservé au filtrage par module).
        self::assertSame([], $result['disabledRoutes']);
    }
    public function testSectionWithRolesIsVisibleWhenRolePresent(): void
    {
        $sections = [
            ['label' => 'sidebar.admin.section', 'icon' => 'mdi:cog', 'roles' => ['ROLE_ADMIN'], 'items' => [
                ['label' => 'sidebar.admin.admin', 'to' => '/admin', 'icon' => 'mdi:cog'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER', 'ROLE_ADMIN']);
        self::assertCount(1, $result['sections']);
        self::assertSame('/admin', $result['sections'][0]['items'][0]['to']);
        self::assertArrayNotHasKey('roles', $result['sections'][0]);
    }
    public function testItemWithRolesIsHiddenWhenRoleMissing(): void
    {
        $sections = [
            ['label' => 'sidebar.hr.section', 'icon' => 'mdi:calendar', 'items' => [
                ['label' => 'sidebar.hr.teamAbsences', 'to' => '/team-absences', 'icon' => 'mdi:account-group', 'roles' => ['ROLE_ADMIN']],
                ['label' => 'sidebar.hr.x', 'to' => '/x', 'icon' => 'mdi:x'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertCount(1, $result['sections']);
        self::assertCount(1, $result['sections'][0]['items']);
        self::assertSame('/x', $result['sections'][0]['items'][0]['to']);
        self::assertArrayNotHasKey('roles', $result['sections'][0]['items'][0]);
    }
 }
 ```
 - [ ] **Step 2: Lancer le test, vérifier l'échec**
 Run: `docker exec -t -u www-data php-lesstime-fpm php vendor/bin/phpunit tests/Unit/Shared/Sidebar/SidebarFilterTest.php`
 Expected: FAIL — `filter()` actuel n'accepte que 2 args / ne gère pas `roles` (erreur d'arité ou assertions rouges).
 - [ ] **Step 3: Étendre `SidebarFilter`**
 Remplace INTÉGRALEMENT `src/Shared/Domain/Sidebar/SidebarFilter.php` par :
 ```php
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Sidebar;
 final class SidebarFilter
 {
    /**
     * @param list<array{label:string, icon:string, roles?:list<string>, items: list<array{label:string, to:string, icon:string, module?:string, roles?:list<string>}>}> $sections
     * @param list<string>                                                                                                                                               $activeModuleIds
     * @param list<string>                                                                                                                                               $activeRoles
     *
     * @return array{sections: list<array{label:string, icon:string, items: list<array{label:string, to:string, icon:string}>}>, disabledRoutes: list<string>}
     */
    public static function filter(array $sections, array $activeModuleIds, array $activeRoles = []): array
    {
        $outSections    = [];
        $disabledRoutes = [];
        foreach ($sections as $section) {
            // Gate de rôle au niveau section (ne pollue pas disabledRoutes : réservé au filtrage module).
            if (!self::rolesSatisfied($section['roles'] ?? null, $activeRoles)) {
                continue;
            }
            $items = [];
            foreach ($section['items'] as $item) {
                // Gate de rôle au niveau item.
                if (!self::rolesSatisfied($item['roles'] ?? null, $activeRoles)) {
                    continue;
                }
                // Filtrage par module actif (pilote la redirection front via disabledRoutes).
                $module = $item['module'] ?? null;
                if (null !== $module && !in_array($module, $activeModuleIds, true)) {
                    $disabledRoutes[] = $item['to'];
                    continue;
                }
                $items[] = ['label' => $item['label'], 'to' => $item['to'], 'icon' => $item['icon']];
            }
            if ([] !== $items) {
                $outSections[] = ['label' => $section['label'], 'icon' => $section['icon'], 'items' => $items];
            }
        }
        return ['sections' => $outSections, 'disabledRoutes' => $disabledRoutes];
    }
    /**
     * @param list<string>|null $required
     * @param list<string>      $activeRoles
     */
    private static function rolesSatisfied(?array $required, array $activeRoles): bool
    {
        if (null === $required || [] === $required) {
            return true;
        }
        foreach ($required as $role) {
            if (in_array($role, $activeRoles, true)) {
                return true;
            }
        }
        return false;
    }
 }
 ```
 - [ ] **Step 4: Lancer le test unitaire, vérifier le vert**
 Run: `docker exec -t -u www-data php-lesstime-fpm php vendor/bin/phpunit tests/Unit/Shared/Sidebar/SidebarFilterTest.php`
 Expected: PASS (6 tests).
 - [ ] **Step 5: Injecter les rôles dans `SidebarProvider`**
 Remplace INTÉGRALEMENT `src/Shared/Infrastructure/ApiPlatform/State/SidebarProvider.php` par :
 ```php
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\ApiPlatform\State;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProviderInterface;
 use App\Shared\Domain\Module\ModuleRegistry;
 use App\Shared\Domain\Sidebar\SidebarFilter;
 use App\Shared\Infrastructure\ApiPlatform\Resource\SidebarResource;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 final readonly class SidebarProvider implements ProviderInterface
 {
    public function __construct(
        #[Autowire('%kernel.project_dir%')]
        private string $projectDir,
        private Security $security,
    ) {}
    public function provide(Operation $operation, array $uriVariables = [], array $context = []): SidebarResource
    {
        /** @var list<class-string> $moduleClasses */
        $moduleClasses = require $this->projectDir.'/config/modules.php';
        /** @var list<array{label:string, icon:string, roles?:list<string>, items: list<array{label:string, to:string, icon:string, module?:string, roles?:list<string>}>}> $sidebar */
        $sidebar = require $this->projectDir.'/config/sidebar.php';
        $user  = $this->security->getUser();
        $roles = null !== $user ? $user->getRoles() : [];
        $filtered = SidebarFilter::filter($sidebar, ModuleRegistry::ids($moduleClasses), array_values($roles));
        $dto                 = new SidebarResource();
        $dto->sections       = $filtered['sections'];
        $dto->disabledRoutes = $filtered['disabledRoutes'];
        return $dto;
    }
 }
 ```
 - [ ] **Step 6: Compléter `config/sidebar.php`**
 Remplace INTÉGRALEMENT `config/sidebar.php` par (icônes alignées sur le layout actuel ; `/absences` retiré car gardé client-side via `isEmployee`) :
 ```php
 <?php
 declare(strict_types=1);
 /*
 * Définition de la sidebar (sections + items) — navigation GLOBALE uniquement.
 * Filtrée par SidebarFilter : `module` (route ajoutée à disabledRoutes si module inactif),
 * `roles` (section ou item masqué si l'utilisateur n'a aucun des rôles listés ; gate minimal,
 * le RBAC fin par permission arrive en #1.2).
 * Les items contextuels (Kanban/Groupes/Archives), feature-flag (Documents, Mail) et user-flag
 * (Mes absences) restent rendus côté layout, hors de cet endpoint.
 * Les labels sont des clés i18n (sidebar.<domaine>.<item>).
 */
 return [
    [
        'label' => 'sidebar.general.section',
        'icon'  => 'mdi:view-dashboard-outline',
        'items' => [
            ['label' => 'sidebar.general.dashboard', 'to' => '/', 'icon' => 'mdi:view-dashboard-outline'],
            ['label' => 'sidebar.general.myTasks', 'to' => '/my-tasks', 'icon' => 'mdi:clipboard-check-outline'],
            ['label' => 'sidebar.general.projects', 'to' => '/projects', 'icon' => 'mdi:folder-outline'],
            ['label' => 'sidebar.general.timeTracking', 'to' => '/time-tracking', 'icon' => 'mdi:calendar-edit-outline'],
        ],
    ],
    [
        'label' => 'sidebar.admin.section',
        'icon'  => 'mdi:cog-outline',
        'roles' => ['ROLE_ADMIN'],
        'items' => [
            ['label' => 'sidebar.admin.teamAbsences', 'to' => '/team-absences', 'icon' => 'mdi:calendar-account-outline'],
            ['label' => 'sidebar.admin.administration', 'to' => '/admin', 'icon' => 'mdi:cog-outline'],
        ],
    ],
 ];
 ```
 - [ ] **Step 7: Renforcer le test fonctionnel sidebar (gate admin)**
 Remplace INTÉGRALEMENT `tests/Functional/Shared/SidebarEndpointTest.php` par :
 ```php
 <?php
 declare(strict_types=1);
 namespace App\Tests\Functional\Shared;
 use App\Entity\User;
 use Symfony\Bundle\FrameworkBundle\Test\WebTestCase;
 /**
 * @internal
 */
 final class SidebarEndpointTest extends WebTestCase
 {
    public function testSidebarRequiresAuthentication(): void
    {
        $client = self::createClient();
        $client->request('GET', '/api/sidebar');
        self::assertResponseStatusCodeSame(401);
    }
    public function testSidebarReturnsSectionsForAuthenticatedUser(): void
    {
        $client = self::createClient();
        $em     = self::getContainer()->get('doctrine.orm.entity_manager');
        $user = $em->getRepository(User::class)->findOneBy(['username' => 'alice']);
        $client->loginUser($user);
        $client->request('GET', '/api/sidebar');
        self::assertResponseIsSuccessful();
        $data = json_decode($client->getResponse()->getContent(), true);
        self::assertArrayHasKey('sections', $data);
        self::assertArrayHasKey('disabledRoutes', $data);
        self::assertNotEmpty($data['sections']);
    }
    public function testAdminSectionHiddenForNonAdmin(): void
    {
        $client = self::createClient();
        $em     = self::getContainer()->get('doctrine.orm.entity_manager');
        $user = $em->getRepository(User::class)->findOneBy(['username' => 'alice']); // ROLE_USER
        $client->loginUser($user);
        $client->request('GET', '/api/sidebar');
        $data   = json_decode($client->getResponse()->getContent(), true);
        $labels = array_column($data['sections'], 'label');
        self::assertNotContains('sidebar.admin.section', $labels);
    }
    public function testAdminSectionVisibleForAdmin(): void
    {
        $client = self::createClient();
        $em     = self::getContainer()->get('doctrine.orm.entity_manager');
        $user = $em->getRepository(User::class)->findOneBy(['username' => 'admin']); // ROLE_ADMIN
        $client->loginUser($user);
        $client->request('GET', '/api/sidebar');
        $data   = json_decode($client->getResponse()->getContent(), true);
        $labels = array_column($data['sections'], 'label');
        self::assertContains('sidebar.admin.section', $labels);
    }
 }
 ```
 - [ ] **Step 8: Lancer la suite complète, vérifier le vert**
 Run: `docker exec -t -u www-data php-lesstime-fpm php vendor/bin/phpunit`
 Expected: PASS (les 110 tests précédents adaptés + nouveaux cas). Si `admin`/`alice` n'existent pas en base de test, vérifier les fixtures (`admin`/`admin`, `alice`/`alice` d'après CLAUDE.md).
 - [ ] **Step 9: php-cs-fixer + commit**
 Run: `make php-cs-fixer-allow-risky`
 ```bash
 git add src/Shared/Domain/Sidebar/SidebarFilter.php src/Shared/Infrastructure/ApiPlatform/State/SidebarProvider.php config/sidebar.php tests/Unit/Shared/Sidebar/SidebarFilterTest.php tests/Functional/Shared/SidebarEndpointTest.php
 git commit -m "feat(sidebar) : add role gate to sidebar provider and global nav config"
 ```
 ---
 ### Task 2: Frontend — types + composables partagés (`useModules`, `useSidebar`)
 **Files:**
 - Create: `frontend/shared/types/sidebar.ts`
 - Create: `frontend/shared/composables/useModules.ts`
 - Create: `frontend/shared/composables/useSidebar.ts`
 > Note : à cette étape `shared/` n'est pas encore dans `imports.dirs` (fait en Task 4). Ces fichiers sont créés ici mais référencés/auto-importés seulement après Task 4 ; le typecheck final de validation se fait donc en fin de Task 4. Cette task se termine sans verif runtime (pur ajout de fichiers).
 **Interfaces:**
 - Produces :
  - `useModules(): { activeModuleIds: Ref<string[]>, loaded: Ref<boolean>, loadModules(): Promise<void>, isModuleActive(id: string): boolean, resetModules(): void }`
  - `useSidebar(): { sections: Ref<SidebarSection[]>, disabledRoutes: Ref<string[]>, loaded: Ref<boolean>, loadSidebar(): Promise<void>, isRouteDisabled(path: string): boolean, resetSidebar(): void }`
  - `SidebarSection`, `SidebarItem` (types).
 - Consumes : `useApi()` (auto-importé, déplacé en Task 3 — toujours appelé par nom).
 - [ ] **Step 1: Créer les types**
 `frontend/shared/types/sidebar.ts` :
 ```ts
 export type SidebarItem = {
    label: string
    to: string
    icon: string
 }
 export type SidebarSection = {
    label: string
    icon: string
    items: SidebarItem[]
 }
 ```
 - [ ] **Step 2: Créer `useModules`**
 `frontend/shared/composables/useModules.ts` (état singleton au niveau module) :
 ```ts
 const activeModuleIds = ref<string[]>([])
 const loaded = ref(false)
 export function useModules() {
    async function loadModules(): Promise<void> {
        const api = useApi()
        const data = await api.get<{ modules: string[] }>('/modules', {}, { toast: false })
        activeModuleIds.value = data.modules ?? []
        loaded.value = true
    }
    function isModuleActive(id: string): boolean {
        return activeModuleIds.value.includes(id)
    }
    function resetModules(): void {
        activeModuleIds.value = []
        loaded.value = false
    }
    return { activeModuleIds, loaded, loadModules, isModuleActive, resetModules }
 }
 ```
 > Vérifier la signature réelle de `useApi().get` (Task 3 / source actuelle) : `get<T>(url, query?, options?)`. L'option `{ toast: false }` doit exister dans `ApiFetchOptions` ; si la clé diffère (ex. `toastSuccessKey`/`toast`), aligner sur la signature réelle de `useApi.ts`. Si aucune option « silencieux » n'existe, passer `{}`.
 - [ ] **Step 3: Créer `useSidebar`**
 `frontend/shared/composables/useSidebar.ts` :
 ```ts
 import type { SidebarSection } from '~/shared/types/sidebar'
 const sections = ref<SidebarSection[]>([])
 const disabledRoutes = ref<string[]>([])
 const loaded = ref(false)
 export function useSidebar() {
    async function loadSidebar(): Promise<void> {
        const api = useApi()
        const data = await api.get<{ sections: SidebarSection[]; disabledRoutes: string[] }>(
            '/sidebar', {}, { toast: false },
        )
        sections.value = data.sections ?? []
        disabledRoutes.value = data.disabledRoutes ?? []
        loaded.value = true
    }
    function isRouteDisabled(path: string): boolean {
        return disabledRoutes.value.some(
            (disabled) => path === disabled || path.startsWith(disabled + '/'),
        )
    }
    function resetSidebar(): void {
        sections.value = []
        disabledRoutes.value = []
        loaded.value = false
    }
    return { sections, disabledRoutes, loaded, loadSidebar, isRouteDisabled, resetSidebar }
 }
 ```
 - [ ] **Step 4: Commit**
 ```bash
 git add frontend/shared/types/sidebar.ts frontend/shared/composables/useModules.ts frontend/shared/composables/useSidebar.ts
 git commit -m "feat(front) : add shared useModules/useSidebar composables and sidebar types"
 ```
 ---
 ### Task 3: Frontend — déplacer `useApi` et les stores transverses vers `shared/`
 **Files:**
 - Move: `frontend/composables/useApi.ts` → `frontend/shared/composables/useApi.ts`
 - Move: `frontend/stores/auth.ts` → `frontend/shared/stores/auth.ts`
 - Move: `frontend/stores/ui.ts` → `frontend/shared/stores/ui.ts`
 > `timer.ts` et `mail.ts` **restent** dans `frontend/stores/` (domaines métier non encore migrés en module). On ne déplace que les deux stores transverses (auth, ui) + `useApi`. La résolution effective (auto-import depuis `shared/`) est activée en Task 4 ; cette task fait les `git mv` et termine par un commit. Le typecheck de validation est en Task 4 (après config).
 - [ ] **Step 1: Déplacer les fichiers (git mv pour préserver l'historique)**
 ```bash
 cd /home/matthieu/dev_malio/Lesstime/frontend
 mkdir -p shared/stores
 git mv composables/useApi.ts shared/composables/useApi.ts
 git mv stores/auth.ts shared/stores/auth.ts
 git mv stores/ui.ts shared/stores/ui.ts
 ```
 - [ ] **Step 2: Vérifier qu'aucun import par CHEMIN ne pointe vers les anciens emplacements**
 Run: `cd /home/matthieu/dev_malio/Lesstime/frontend && grep -rn "composables/useApi\|stores/auth\|stores/ui" --include=*.ts --include=*.vue . | grep -v node_modules | grep -v "shared/"`
 Expected: aucun résultat (tout passe par auto-import). Si un import explicite existe (ex. `from '~/composables/useApi'`), le corriger en `from '~/shared/composables/useApi'` ou retirer l'import (auto-import). Noter chaque correction.
 > `layouts/default.vue` importe actuellement `useAppVersion` depuis `~/composables/useAppVersion` (NON déplacé) — ne pas y toucher ici.
 - [ ] **Step 3: Commit**
 ```bash
 git add -A
 git commit -m "refactor(front) : move useApi and shared stores (auth, ui) to shared/"
 ```
 ---
 ### Task 4: Frontend — `nuxt.config.ts` (srcDir, dossiers `app/`, scan des layers, auto-imports)
 **Files:**
 - Modify: `frontend/nuxt.config.ts`
 - Create: `frontend/modules/.gitkeep` (dossier vide prêt pour le scan)
 - Move: `frontend/layouts/` → `frontend/app/layouts/` (default.vue, auth.vue)
 - Move: `frontend/middleware/` → `frontend/app/middleware/` (auth.global.ts, admin.ts, employee.ts)
 **Interfaces:**
 - Produces : structure `app/{layouts,middleware}`, `modules/` scannable, `shared/*` auto-importé.
 - [ ] **Step 1: Déplacer layouts et middleware sous `app/`**
 ```bash
 cd /home/matthieu/dev_malio/Lesstime/frontend
 mkdir -p app modules
 git mv layouts app/layouts
 git mv middleware app/middleware
 touch modules/.gitkeep
 git add modules/.gitkeep
 ```
 - [ ] **Step 2: Réécrire `nuxt.config.ts`**
 Remplace INTÉGRALEMENT `frontend/nuxt.config.ts` par (conserve `vite`/`toast` existants — repris depuis la version actuelle) :
 ```ts
 import { existsSync, readdirSync } from 'node:fs'
 import { resolve } from 'node:path'
 const modulesDir = resolve(__dirname, 'modules')
 const moduleDirs = existsSync(modulesDir)
    ? readdirSync(modulesDir, { withFileTypes: true })
        .filter((d) => d.isDirectory())
        .map((d) => d.name)
    : []
 const moduleLayers = moduleDirs.map((name) => `./modules/${name}`)
 const moduleComposableDirs = moduleDirs
    .map((name) => `modules/${name}/composables`)
    .filter((path) => existsSync(resolve(__dirname, path)))
 const moduleStoreDirs = moduleDirs
    .map((name) => `modules/${name}/stores`)
    .filter((path) => existsSync(resolve(__dirname, path)))
 export default defineNuxtConfig({
    compatibilityDate: '2025-07-15',
    devtools: { enabled: false },
    ssr: false,
    srcDir: '.',
    css: ['~/assets/css/app.css', '~/assets/css/dark.css'],
    app: {
        baseURL: process.env.NODE_ENV === 'production'
            ? (process.env.NUXT_PUBLIC_APP_BASE || '/')
            : '/',
    },
    extends: ['@malio/layer-ui', ...moduleLayers],
    modules: [
        '@nuxtjs/tailwindcss',
        '@pinia/nuxt',
        'nuxt-toast',
        '@nuxtjs/i18n',
        '@nuxt/icon',
    ],
    dir: {
        layouts: 'app/layouts',
        middleware: 'app/middleware',
    },
    imports: {
        dirs: [
            'shared/composables',
            'shared/stores',
            'shared/utils',
            'composables',
            'stores',
            'utils',
            ...moduleComposableDirs,
            ...moduleStoreDirs,
        ],
    },
    pinia: {
        storesDirs: ['shared/stores/**', 'stores/**', 'modules/*/stores/**'],
    },
    runtimeConfig: {
        public: {
            apiBase: process.env.NUXT_PUBLIC_API_BASE,
        },
    },
    devServer: {
        port: 3002,
    },
    components: [
        { path: '~/components', pathPrefix: false },
    ],
    // ⬇️ Reprendre VERBATIM les blocs `vite: {...}`, `toast: {...}`, `i18n: {...}`,
    //    `typescript: {...}`, `build: {...}` de l'ancien nuxt.config.ts (inchangés).
    typescript: { strict: true },
    build: { transpile: ['@vuepic/vue-datepicker'] },
 })
 ```
 > ⚠️ Les blocs `vite`, `toast`, `i18n` de l'ancienne config ne sont pas réécrits ici : **les recopier à l'identique** depuis la version d'origine (récupérable via `git show HEAD~1:frontend/nuxt.config.ts` après les déplacements). Le `i18n.langDir: 'locales'` reste résolu depuis `i18n/`.
 - [ ] **Step 3: Typecheck complet (valide Tasks 2, 3 et 4)**
 Run: `cd /home/matthieu/dev_malio/Lesstime/frontend && npx nuxt typecheck`
 Expected: 0 erreur. Pièges probables :
 - Store non trouvé → vérifier `pinia.storesDirs` inclut bien `shared/stores/**`.
 - Composable non auto-importé → vérifier `imports.dirs` inclut `shared/composables`.
 - `~/composables/useApi` cassé → un import explicite a survécu (corriger comme Task 3 Step 2).
 - [ ] **Step 4: Smoke test runtime — l'app boote et la nav existante fonctionne**
 Run: `cd /home/matthieu/dev_malio/Lesstime && make dev-nuxt` (ou rebuild SPA selon le workflow). Ouvrir l'app, se connecter (`alice`/`alice`), vérifier que la sidebar **statique actuelle** s'affiche encore et que la navigation marche (le layout n'est pas encore dynamisé — c'est normal). Aucun écran blanc / erreur console bloquante.
 Expected: app fonctionnelle, identique à avant (les déplacements sont transparents).
 - [ ] **Step 5: Commit**
 ```bash
 git add -A
 git commit -m "feat(front) : modular nuxt config with app/ shell dirs and modules/* layer auto-detection"
 ```
 ---
 ### Task 5: Frontend — middlewares (`auth.global.ts` étendu + `modules.global.ts`)
 **Files:**
 - Modify: `frontend/app/middleware/auth.global.ts` (charge sidebar + modules après login ; reset au logout)
 - Create: `frontend/app/middleware/modules.global.ts` (redirige les routes désactivées)
 **Interfaces:**
 - Consumes : `useAuthStore()`, `useSidebar()`, `useModules()` (auto-importés).
 - [ ] **Step 1: Étendre `auth.global.ts`**
 Remplace INTÉGRALEMENT `frontend/app/middleware/auth.global.ts` par :
 ```ts
 export default defineNuxtRouteMiddleware(async (to) => {
    const auth = useAuthStore()
    const isLogin = to.path === '/login'
    if (!auth.checked) {
        await auth.ensureSession()
    }
    if (!isLogin && !auth.isAuthenticated) {
        return navigateTo('/login')
    }
    if (isLogin && auth.isAuthenticated) {
        return navigateTo('/')
    }
    const { loaded: sidebarLoaded, loadSidebar, resetSidebar } = useSidebar()
    const { loaded: modulesLoaded, loadModules, resetModules } = useModules()
    if (auth.isAuthenticated) {
        await Promise.all([
            sidebarLoaded.value ? Promise.resolve() : loadSidebar(),
            modulesLoaded.value ? Promise.resolve() : loadModules(),
        ])
    } else {
        // Logout / session expirée : purge l'état partagé pour le prochain login.
        resetSidebar()
        resetModules()
    }
 })
 ```
 - [ ] **Step 2: Créer `modules.global.ts`**
 `frontend/app/middleware/modules.global.ts` :
 ```ts
 export default defineNuxtRouteMiddleware(async (to) => {
    const auth = useAuthStore()
    if (!auth.isAuthenticated) {
        return
    }
    const { loaded, loadSidebar, isRouteDisabled } = useSidebar()
    if (!loaded.value) {
        await loadSidebar()
    }
    if (isRouteDisabled(to.path)) {
        return navigateTo('/')
    }
 })
 ```
 > Ordre des middlewares globaux : Nuxt les exécute par ordre alphabétique de nom de fichier → `auth.global.ts` puis `modules.global.ts`. C'est l'ordre voulu (auth charge la sidebar avant que modules teste les routes désactivées).
 - [ ] **Step 3: Typecheck**
 Run: `cd /home/matthieu/dev_malio/Lesstime/frontend && npx nuxt typecheck`
 Expected: 0 erreur.
 - [ ] **Step 4: Smoke test — chargement sidebar/modules + redirection**
 Avec le dev server : se connecter (`alice`), ouvrir l'onglet Réseau → confirmer un `GET /api/sidebar` et `GET /api/modules` après login. Vérifier la redirection : ajouter TEMPORAIREMENT dans `config/sidebar.php` un item avec `'module' => 'demo'` (module inactif) et un `'to' => '/demo-disabled'`, recharger, confirmer que `/demo-disabled` apparaît dans `disabledRoutes` (réponse `/api/sidebar`) et qu'y naviguer redirige vers `/`. **Puis retirer l'item de démo** (ne pas committer ce stub).
 Expected: appels présents, redirection effective.
 - [ ] **Step 5: Commit**
 ```bash
 git add frontend/app/middleware/auth.global.ts frontend/app/middleware/modules.global.ts
 git commit -m "feat(front) : load sidebar/modules after login and redirect disabled routes"
 ```
 ---
 ### Task 6: Frontend — layout `default.vue` : sidebar dynamique + items conservés
 **Files:**
 - Modify: `frontend/app/layouts/default.vue`
 **Interfaces:**
 - Consumes : `useSidebar()` (sections dynamiques traduites), `useUiStore()`, `useAuthStore()`, `useI18n()`, + le reste de la logique existante (timer, mail, refData) conservée VERBATIM.
 > Stratégie : on remplace le bloc statique des items **globaux** (Tableau de bord, Mes tâches, Projets, Suivi de temps, Absences équipe, Administration) par un rendu **dynamique** issu de `useSidebar()`. On **conserve** les `SidebarLink` des items contextuels (Kanban/Groupes/Archives), feature-flag (Documents, Mail + badge) et user-flag (Mes absences) tels quels. Tout le `<script setup>` non lié à la sidebar (timer, drawer, head, mail polling, refData) est conservé à l'identique.
 - [ ] **Step 1: Réécrire le bloc `<nav>` et l'en-tête du `<script setup>` de `frontend/app/layouts/default.vue`**
 Dans le `<template>`, remplace le contenu de `<nav class="flex-1 overflow-hidden" …>…</nav>` (lignes ~40-167 de l'original) par :
 ```vue
                <nav class="flex-1 overflow-hidden" :class="sidebarIsCollapsed ? 'px-1 pb-6' : 'px-4 pb-6'">
                    <!-- Sections dynamiques (/api/sidebar) : navigation globale + sections gated par rôle -->
                    <template v-for="(section, sIndex) in translatedSections" :key="section.label">
                        <p v-if="!sidebarIsCollapsed" class="px-4 pt-5 pb-1 text-xs font-semibold uppercase tracking-wider text-neutral-400">
                            {{ section.label }}
                        </p>
                        <div v-else class="mx-2 my-3 border-t border-secondary-500" />
                        <SidebarLink
                            v-for="item in section.items"
                            :key="item.to"
                            :to="item.to"
                            :icon="item.icon"
                            :label="item.label"
                            :collapsed="sidebarIsCollapsed"
                            @click="ui.closeMobileSidebar()"
                        />
                        <!-- Items conservés côté client, insérés après la 1re section (cf. décision 3) -->
                        <template v-if="sIndex === 0">
                            <!-- Contextuel projet -->
                            <template v-if="currentProjectId">
                                <SidebarLink :to="`/projects/${currentProjectId}`" icon="mdi:view-column-outline" label="Kanban" :collapsed="sidebarIsCollapsed" sub exact @click="ui.closeMobileSidebar()" />
                                <SidebarLink :to="`/projects/${currentProjectId}/groups`" icon="mdi:tag-multiple-outline" label="Groupes" :collapsed="sidebarIsCollapsed" sub @click="ui.closeMobileSidebar()" />
                                <SidebarLink :to="`/projects/${currentProjectId}/archives`" icon="mdi:archive-outline" label="Archives" :collapsed="sidebarIsCollapsed" sub @click="ui.closeMobileSidebar()" />
                            </template>
                            <!-- Feature-flag : Documents -->
                            <SidebarLink v-if="isDocumentsVisible" to="/documents" icon="mdi:folder-network-outline" :label="$t('sharedFiles.sidebar.title')" :collapsed="sidebarIsCollapsed" @click="ui.closeMobileSidebar()" />
                            <!-- Feature-flag : Mail + badge -->
                            <div v-if="isMailVisible" class="relative">
                                <SidebarLink to="/mail" icon="mdi:email-outline" :label="$t('mail.sidebar.title')" :collapsed="sidebarIsCollapsed" @click="ui.closeMobileSidebar()" />
                                <span
                                    v-if="mailStore.globalUnreadCount > 0"
                                    class="pointer-events-none absolute right-3 top-1/2 flex h-5 min-w-5 -translate-y-1/2 items-center justify-center rounded-full bg-red-500 px-1 text-xs font-bold text-white"
                                    :class="{ 'right-1 top-1 translate-y-0': sidebarIsCollapsed }"
                                    :aria-label="`${mailStore.globalUnreadCount} messages non lus`"
                                >
                                    {{ mailStore.globalUnreadCount > 99 ? '99+' : mailStore.globalUnreadCount }}
                                </span>
                            </div>
                            <!-- User-flag : Mes absences (isEmployee — non couvert par le gate rôle) -->
                            <SidebarLink v-if="isEmployee" to="/absences" icon="mdi:umbrella-beach-outline" label="Mes absences" :collapsed="sidebarIsCollapsed" @click="ui.closeMobileSidebar()" />
                        </template>
                    </template>
                </nav>
 ```
 Dans le `<script setup lang="ts">`, **ajoute** en tête (après les `useXxxStore()` existants) :
 ```ts
 const { t } = useI18n()
 const { sections } = useSidebar()
 const translatedSections = computed(() =>
    sections.value.map((section) => ({
        label: t(section.label),
        icon: section.icon,
        items: section.items.map((item) => ({
            label: t(item.label),
            to: item.to,
            icon: item.icon,
        })),
    })),
 )
 ```
 **Conserve** tout le reste du `<script setup>` (`isAdmin`, `isEmployee`, `isMailVisible`, `isDocumentsVisible`, `currentProjectId`, `sidebarIsCollapsed`, timer/drawer/head/mail/refData…) et le `<style scoped>` à l'identique. `isAdmin`/`isAbsenceSectionVisible` deviennent inutilisés pour la sidebar (l'admin est gated côté serveur) — si le typecheck signale une variable inutilisée, retirer `isAbsenceSectionVisible` ; garder `isAdmin` s'il sert ailleurs, sinon le retirer aussi.
 - [ ] **Step 2: Typecheck**
 Run: `cd /home/matthieu/dev_malio/Lesstime/frontend && npx nuxt typecheck`
 Expected: 0 erreur (corriger toute variable / tout import inutilisé signalé).
 - [ ] **Step 3: Smoke test visuel — non-régression de navigation**
 Dev server. Se connecter successivement :
 - `alice` (ROLE_USER) : sidebar affiche Tableau de bord / Mes tâches / Projets / Suivi de temps (dynamiques), + Documents/Mail si visibles, + Mes absences si employé ; **PAS** de section Administration ni Absences équipe.
 - `admin` (ROLE_ADMIN) : en plus, section **Administration** avec Absences équipe + Administration.
 - Entrer dans un projet (`/projects/<id>`) : Kanban/Groupes/Archives apparaissent (contextuel conservé).
 Expected: tous les liens d'avant atteignables ; gating admin respecté. Noter tout délta visuel (ordre) pour validation PO (cf. décision 3).
 - [ ] **Step 4: Commit**
 ```bash
 git add frontend/app/layouts/default.vue
 git commit -m "feat(front) : render dynamic sidebar from /api/sidebar in default layout"
 ```
 ---
 ### Task 7: Frontend — clés i18n `sidebar.*` + vérification bout-en-bout
 **Files:**
 - Modify: `frontend/i18n/locales/fr.json` (ajouter le namespace `sidebar`)
 **Interfaces:**
 - Consumes : les labels renvoyés par `/api/sidebar` (`sidebar.general.*`, `sidebar.admin.*`) traduits par `t()` dans `translatedSections`.
 - [ ] **Step 1: Repérer la structure du fichier i18n**
 Run: `cd /home/matthieu/dev_malio/Lesstime/frontend && head -20 i18n/locales/fr.json`
 Objectif : connaître l'indentation et confirmer que c'est un objet JSON imbriqué (ajouter une clé racine `sidebar`).
 - [ ] **Step 2: Ajouter le namespace `sidebar`**
 Ajoute (à la racine de l'objet JSON, en respectant l'indentation existante) :
 ```json
  "sidebar": {
    "general": {
      "section": "Gestion de projet",
      "dashboard": "Tableau de bord",
      "myTasks": "Mes tâches",
      "projects": "Projets",
      "timeTracking": "Suivi de temps"
    },
    "admin": {
      "section": "Administration",
      "teamAbsences": "Absences équipe",
      "administration": "Administration"
    }
  }
 ```
 > Les libellés reprennent ceux du layout actuel. `sidebar.general.section` = « Gestion de projet » (regroupe désormais le Tableau de bord — délta cosmétique acté, décision 3).
 - [ ] **Step 3: Typecheck + smoke i18n**
 Run: `cd /home/matthieu/dev_malio/Lesstime/frontend && npx nuxt typecheck`
 Dev server : confirmer que les en-têtes/labels de sidebar s'affichent **traduits** (pas les clés brutes `sidebar.general.*`).
 Expected: libellés FR corrects.
 - [ ] **Step 4: Vérification bout-en-bout de l'activation/désactivation (AC)**
 Test manuel documenté (aucun module réel en 0.2) :
 1. Ajouter TEMPORAIREMENT dans `config/sidebar.php` un item avec `'module' => 'demo'`, `'to' => '/projects'` (route existante) dans une section visible.
 2. `config/modules.php` reste vide (module `demo` inactif) → `GET /api/sidebar` doit lister `/projects` dans `disabledRoutes` et masquer l'item ; naviguer vers `/projects` doit rediriger vers `/`.
 3. Ajouter une classe `DemoModule implements ModuleInterface { id()='demo' … }` + `config/modules.php` = `[DemoModule::class]` → l'item réapparaît, `/projects` n'est plus dans `disabledRoutes`, la navigation fonctionne.
 4. **Tout retirer** (item démo + DemoModule + entrée modules.php). Confirmer l'état initial.
 Documenter le résultat dans le message de fin. **Ne rien committer de ce stub.**
 - [ ] **Step 5: Suite back + cs-fixer (non-régression globale) + commit**
 Run: `docker exec -t -u www-data php-lesstime-fpm php vendor/bin/phpunit`
 Expected: vert (inchangé vs Task 1).
 Run: `cd /home/matthieu/dev_malio/Lesstime/frontend && npx nuxt typecheck` → 0 erreur.
 ```bash
 git add frontend/i18n/locales/fr.json
 git commit -m "feat(front) : add sidebar i18n labels"
 ```
 ---
 ## Acceptance check (après toutes les tasks)
 - [ ] `frontend/app/{layouts,middleware}`, `frontend/shared/{composables,stores,types}`, `frontend/modules/` (vide) en place ; `nuxt.config.ts` scanne `modules/*/`.
 - [ ] Sidebar **dynamique** alimentée par `/api/sidebar` pour la nav globale ; gate ROLE_ADMIN effectif (admin-only invisible pour `alice`).
 - [ ] Route d'un module désactivé → **redirigée** vers `/` (vérifié via le stub démo).
 - [ ] **Aucune page métier déplacée** ; `frontend/pages/` intact ; tous les liens actuels atteignables.
 - [ ] `npx nuxt typecheck` = 0 erreur ; suite PHPUnit verte ; aucune migration BDD.
 - [ ] Délta cosmétique d'ordre de sidebar présenté au PO pour validation.
 ## Notes pour le ticket suivant (1.1 — Module Core)
 Le 1.1 migrera `User`/Auth dans `src/Module/Core/`, re-pointera `resolve_target_entities` vers `Module\Core\User`, déclarera `CoreModule` (REQUIRED) dans `config/modules.php`, et créera le premier vrai layer front `frontend/modules/core/` (login, profile, admin users) — c'est là que le scan de layers et `useModules`/`useSidebar` prennent tout leur sens (premier item de sidebar avec une clé `module` réelle).
@@ -0,0 +1,192 @@
 # LST-56 — Socle modular monolith DDD + pilote « Projets/Tâches »
 > Ticket Lesstime **#56** (1/5 — groupe « Refonte / Alignement Starseed »).
 > Design validé le 2026-06-19. Référence vivante : repo **Starseed** (`.claude/rules/*.md` + implémentation réelle), et `Starseed/doc/architecture-modulaire-malio.md` (vision cible théorique — **non contraignante** là où elle diverge du code réel).
 ## 1. Objectif & contraintes
 Poser dans Lesstime l'**infrastructure d'un modular monolith DDD** calquée sur Starseed, et **migrer un premier module pilote** (Projets/Tâches) de bout en bout comme preuve que la mécanique tient sur le cœur métier.
 Contraintes **non négociables** :
 - **Ne rien casser de l'existant.** Migration **strangler progressive** : le code legacy (`src/Entity/…`) et les modules (`src/Module/…`) coexistent ; l'application reste fonctionnelle et `make test` vert à **chaque** étape.
 - **Prod = Docker, BDD peuplée** → uniquement des migrations **additives et nullable** (aucun `DROP`, aucun `NOT NULL` rétroactif, aucun déplacement de données).
 - **Profondeur DDD : pragmatique**, alignée sur le **Starseed réel** (pas la doc théorique) : ORM attributs conservés dans les entités Domain, Repository = interface (Domain) + impl Doctrine (Infrastructure), Provider/Processor API Platform, contrats `Shared/Domain/Contract` pour le cross-module. **Pas de CQRS bus systématique, pas de multi-tenant.**
 ### Décisions de cadrage (figées)
 | Sujet | Décision |
 |-------|----------|
 | Périmètre #56 | Socle complet + **1 module pilote** migré de bout en bout |
 | Stratégie | **Strangler progressif** (legacy + modules en parallèle) |
 | Profondeur DDD | **Pragmatique** (= Starseed réel) |
 | Module pilote | **Projets/Tâches** (cœur métier) |
 | Dépendances du pilote (User/Client/Notification) | Restent **legacy**, câblées via **contrats `Shared/Domain/Contract`** + `resolve_target_entities` |
 | Infra d'audit Starseed | **Différée** → ticket Lesstime dédié (créé séparément) |
 | Périmètre front #56 | **Câblage shell/shared/middlewares + migration du pilote en layer**, sans relooking (le relooking Malio reste #60) |
 | Exposition API du pilote | **Garder les `#[ApiResource]` actuels** (étendre seulement les chemins de scan) — zéro régression API |
 | Tâche → Notification | **Contrat `NotifierInterface`** (impl legacy crée la `Notification`) |
 | Nom/ID du module | back `ProjectManagement` / front `project-management` / ID `project_management` |
 ## 2. Garde-fous Starseed retenus pour #56
 Repris : `declare(strict_types=1)`, `src/Module/<X>/{Domain,Application,Infrastructure}`, `Shared/Domain/Contract` + `resolve_target_entities` (zéro import inter-modules), `config/modules.php` + `config/sidebar.php`, endpoints `/api/modules` + `/api/sidebar` + `/api/version`, `TimestampableBlamableTrait` + subscriber, pagination obligatoire, `COMMENT ON COLUMN` (helper `ColumnCommentsCatalog`), front layers auto-détectés + `useSidebar`/`useModules` + `auth.global.ts`/`modules.global.ts`.
 Reportés (hors #56) : **infra d'audit** (`#[Auditable]`/`#[AuditIgnore]`, table `audit_log`, listener, resource) → ticket dédié. **RBAC fin** (`module.resource.action`) → #57 ; en #56 la sidebar filtre **par module actif** (au plus un gate `ROLE_ADMIN`).
 ## 3. Backend — arborescence cible
 ```
 src/Shared/
 ├── Domain/
 │   ├── Contract/        UserInterface, UserResolverInterface, ClientInterface, NotifierInterface
 │   ├── Event/           DomainEventInterface
 │   └── Trait/           TimestampableBlamableTrait
 ├── Infrastructure/
 │   ├── Doctrine/        TimestampableBlamableSubscriber
 │   ├── Database/        ColumnCommentsCatalog (helper COMMENT ON COLUMN + 4 colonnes std)
 │   └── ApiPlatform/
 │       ├── Resource/    ModulesResource, SidebarResource
 │       └── State/       ModulesProvider, SidebarProvider
 │
 src/Module/ProjectManagement/
 ├── ProjectManagementModule.php   ID='project_management', LABEL='Projets', REQUIRED=false, permissions()=[] (stub, RBAC réel #57)
 ├── Domain/
 │   ├── Entity/          Project, Task, Workflow, TaskStatus, TaskGroup, TaskEffort,
 │   │                    TaskPriority, TaskTag, TaskRecurrence, TaskDocument
 │   └── Repository/      *RepositoryInterface (une interface par agrégat consommé)
 ├── Application/         RecurrenceCalculator/RecurrenceHandler + services task-centric déplacés
 └── Infrastructure/
    ├── Doctrine/        Doctrine*Repository + Migrations/ (additif Timestampable)
    ├── ApiPlatform/     State/Provider + State/Processor déplacés (TaskNumber, TaskCalendar,
    │                    TaskDocument*, SwitchProjectWorkflow, WorkflowDelete, ActiveTimeEntry resté legacy…)
    └── Mcp/Tool/        MCP tools Project/, Task/, TaskMeta/, Workflow/ déplacés
 ```
 `src/Entity/` conserve **intacts** : `User`, `Client`, `Notification`, `TimeEntry`, `AbsenceRequest`/`AbsencePolicy`/`AbsenceBalance`, `Mail*`, `Gitea*`/`BookStack*`/`Zimbra*`/`Share*Configuration`. Ces domaines seront modularisés dans des tickets ultérieurs.
 > **Note de découpage** : `TimeEntry` reste legacy en #56 (domaine Time tracking séparé). Le lien `Task ↔ TimeEntry` est porté côté `TimeEntry` (FK nullable vers la table `task`) ; aucune contrainte ne casse car la table `task` ne change pas de nom.
 ## 4. Câblage des dépendances (zéro import inter-modules)
 1. Interfaces dans `src/Shared/Domain/Contract/` :
   - `UserInterface` (id + identifiants nécessaires aux entités du module : assignee, collaborators, createdBy/updatedBy),
   - `ClientInterface` (id + nom, pour `Project.client`),
   - `UserResolverInterface` (résoudre un user par id, pour les State/MCP du module),
   - `NotifierInterface` (créer une notification — impl legacy).
 2. Les entités du module **type-hintent les interfaces**, jamais `App\Entity\*`.
 3. `config/packages/doctrine.yaml → orm.resolve_target_entities` :
   ```yaml
   resolve_target_entities:
       App\Shared\Domain\Contract\UserInterface:   App\Entity\User
       App\Shared\Domain\Contract\ClientInterface: App\Entity\Client
   ```
 4. `App\Entity\User` `implements UserInterface`, `App\Entity\Client` `implements ClientInterface` (legacy modifié à minima, additif).
 5. Notifications : `App\Module\ProjectManagement\…` appelle `NotifierInterface` ; impl `App\…\LegacyNotifier` (wrappe le `NotificationService` actuel). Le `TaskNotificationListener` est déplacé/adapté pour passer par le contrat.
 ## 5. Config backend (toutes additives)
 - **`doctrine.yaml`** — ajouter un mapping module (garder `App → src/Entity`) :
  ```yaml
  mappings:
      App: { type: attribute, is_bundle: false, dir: '%kernel.project_dir%/src/Entity', prefix: 'App\Entity', alias: App }
      ProjectManagement:
          type: attribute
          is_bundle: false
          dir: '%kernel.project_dir%/src/Module/ProjectManagement/Domain/Entity'
          prefix: 'App\Module\ProjectManagement\Domain\Entity'
  ```
  Les entités déplacées **gardent leur `#[ORM\Table(name: '…')]` actuel** (table inchangée → aucune donnée déplacée). `#[ORM\Entity(repositoryClass: DoctrineXxxRepository::class)]` mis à jour vers la nouvelle classe.
 - **`doctrine_migrations.yaml`** — ajouter le namespace module (garder `DoctrineMigrations`) :
  ```yaml
  migrations_paths:
      DoctrineMigrations: '%kernel.project_dir%/migrations'
      'App\Module\ProjectManagement\Infrastructure\Doctrine\Migrations': '%kernel.project_dir%/src/Module/ProjectManagement/Infrastructure/Doctrine/Migrations'
  ```
  > ⚠️ Doctrine Migrations trie par FQCN entre namespaces : le legacy `DoctrineMigrations` (setup initial) passe avant les migrations modulaires sur base vide. Sur la prod déjà migrée, seules les **nouvelles** migrations additives s'appliquent → pas d'impact d'ordre.
 - **`api_platform.yaml`** — déclarer les chemins de mapping (entités + resources legacy **et** module) pour que les `#[ApiResource]` du pilote restent découverts :
  ```yaml
  mapping:
      paths:
          - '%kernel.project_dir%/src/Entity'
          - '%kernel.project_dir%/src/ApiResource'
          - '%kernel.project_dir%/src/Shared/Infrastructure/ApiPlatform/Resource'
          - '%kernel.project_dir%/src/Module/ProjectManagement/Domain/Entity'
  ```
 - **`services.yaml`** — mettre à jour les FQCN explicites déplacés : `App\EventListener\TaskDocumentListener`, `App\State\TaskDocumentProcessor`, `App\Controller\TaskDocumentDownloadController`, `App\Mcp\Tool\Task\AddTaskDocumentTool`, `App\Mcp\Tool\Task\UpdateTaskDocumentTool` → nouveaux namespaces module. Le glob `App\: '../src/'` continue d'autowire les classes déplacées.
 ## 6. Garde-fous portés dans #56
 - **TimestampableBlamable** : trait `Shared/Domain/Trait/TimestampableBlamableTrait` (4 colonnes `created_at`, `updated_at`, `created_by`, `updated_by` — toutes **nullable**), rempli par `TimestampableBlamableSubscriber` (prePersist/preUpdate). Appliqué aux entités du pilote → **1 migration additive** par table concernée, avec `COMMENT ON COLUMN` via `ColumnCommentsCatalog::addStandardTimestampableBlamableComments()`.
 - **Pagination** : conserver le standard API Platform actuel (les collections du pilote restent paginées comme aujourd'hui).
 - **`COMMENT ON COLUMN`** : appliqué sur les colonnes ajoutées par #56 (pas de rétro-commentaire forcé sur le legacy).
 ## 7. Endpoints modules / sidebar / version
 - `GET /api/modules` (public) — `ModulesResource` + `ModulesProvider` lisant `config/modules.php` (renvoie `{ modules: ["project_management", …] }`).
 - `GET /api/sidebar` (auth) — `SidebarResource` + `SidebarProvider` lisant `config/sidebar.php` ; filtrage **par module actif** (item `module` absent de la liste active → masqué + route ajoutée à `disabledRoutes`) ; gate de section optionnel `ROLE_ADMIN`. Le filtrage par **permissions fines** est explicitement reporté à #57.
 - `GET /api/version` — **déjà présent** (`AppVersion`) ; vérifier le format `{ version }`, ré-aligner si besoin (déplacement optionnel vers `Shared/`).
 - `config/modules.php` : `return [ ProjectManagementModule::class ];` (Core viendra plus tard ; pas de module REQUIRED bloquant en #56).
 - `config/sidebar.php` : sections « Projets » / « Mes tâches » avec `module => 'project_management'` ; les entrées des domaines encore legacy (Time tracking, Absences, Mail, Admin…) listées **sans** clé `module` (donc toujours visibles) pour ne rien masquer.
 ## 8. Frontend — câblage + pilote en layer (sans relooking)
 ```
 frontend/app/
 ├── layouts/default.vue            shell : sidebar (depuis /api/sidebar) + main
 ├── middleware/auth.global.ts      protège routes, charge sidebar+modules après login
 └── middleware/modules.global.ts   redirige si route ∈ disabledRoutes
 frontend/shared/
 ├── composables/  useApi (déplacé), useSidebar, useModules, + existants réutilisés
 ├── stores/       auth, ui, timer (timer reste partagé : Time tracking encore legacy)
 ├── utils/        api.ts (extractHydraMembers/fetchAllHydra), …
 └── types/
 frontend/modules/project-management/
 ├── nuxt.config.ts                 defineNuxtConfig({})
 ├── pages/        my-tasks.vue, projects/index.vue, projects/[id]/*  (déplacés tels quels)
 ├── components/   task/*, project/*  (déplacés)
 ├── services/     tasks.ts, projects.ts, task-*.ts, workflows.ts (déplacés)
 └── stores/       (si spécifiques au domaine)
 ```
 - **`nuxt.config.ts`** : auto-détection des layers `modules/*/` (scan `readdirSync` comme Starseed) ajoutés à `extends`, + dirs d'auto-import des composables/stores par layer. `extends: ['@malio/layer-ui']` conservé en tête.
 - **`useSidebar`/`useModules`** : état singleton, `loadSidebar()`/`loadModules()` appelés dans `auth.global.ts`, `reset*()` au logout.
 - **`modules.global.ts`** : `isRouteDisabled(to.path)` → `navigateTo('/')`.
 - **Migration des pages** : déplacement **sans réécriture visuelle** ; les pages des autres domaines (time-tracking, absences, mail, admin, profile…) **restent dans `frontend/pages/`** (legacy) tant que leurs modules ne sont pas migrés. Nuxt fusionne les routes du shell + des layers → cohabitation transparente.
 > Point de vigilance front : vérifier que la cohabitation `frontend/pages/` (legacy) + `frontend/modules/*/pages/` (layer) ne crée pas de collision de routes ; `my-tasks`/`projects` sont déplacés **et retirés** de `frontend/pages/` pour éviter le doublon.
 ## 9. Plan strangler (ordre d'exécution — app verte à chaque palier)
 1. **Shared/ + garde-fous** : trait, subscriber, `ColumnCommentsCatalog`. Neutre (rien ne les consomme encore).
 2. **Endpoints modules/sidebar** + `config/modules.php` + `config/sidebar.php` (toutes entrées legacy sans `module` → rien masqué). Additif.
 3. **Contrats `Shared/Domain/Contract`** + `resolve_target_entities` + `User`/`Client` `implements …Interface`. Neutre.
 4. **Déplacement back du module** ProjectManagement (entités → Domain/Entity, repos → Infra/Doctrine + interfaces Domain, State, MCP) + mises à jour `doctrine.yaml`/`api_platform.yaml`/`doctrine_migrations.yaml`/`services.yaml`. **`make test` vert.**
 5. **Migration additive Timestampable** sur les tables du pilote (+ `COMMENT ON COLUMN`).
 6. **Front shell** : `app/` + `shared/` + middlewares + auto-détection `nuxt.config.ts`. App encore en pages plates.
 7. **Déplacement front du pilote** vers `modules/project-management/` (pages/components/services), retrait des doublons de `frontend/pages/`.
 8. **Vérification bout-en-bout** : commenter `ProjectManagementModule::class` dans `config/modules.php` → `/api/modules` ne le liste plus, `/api/sidebar` masque ses entrées + peuple `disabledRoutes`, le front redirige `/my-tasks`→`/`. Décommenter → tout revient. Documenter le test.
 ## 10. Critères d'acceptation (repris du ticket, raffinés)
 - [ ] `src/Shared/` + `src/Module/ProjectManagement/{Domain,Application,Infrastructure}` en place.
 - [ ] `/api/modules`, `/api/sidebar` fonctionnels ; `/api/version` aligné.
 - [ ] Aucun import direct `App\Entity\User`/`Client` depuis le module (contrats + `resolve_target_entities`).
 - [ ] Front : layers `frontend/modules/*/` auto-détectés ; `useSidebar`/`useModules` + `auth.global.ts`/`modules.global.ts` opérationnels ; pilote migré sans régression visuelle.
 - [ ] Garde-fous : TimestampableBlamable (migration additive + `COMMENT ON COLUMN`) ; pagination conservée. **Audit explicitement hors périmètre** (ticket dédié).
 - [ ] `make test` vert ; activation/désactivation du module validée de bout en bout.
 - [ ] Aucune migration destructive ; prod déployable sans perte.
 ## 11. Risques & points de vigilance
 - **Prod peuplée** : seules migrations additives nullable. `created_by`/`updated_by` non backfillés (historique) — conforme Starseed.
 - **Changement de namespace des entités** : sans impact DB (Doctrine mappe par table). Vérifier qu'aucun code legacy ne référence en dur `App\Entity\Task` etc. → grep + remplacement (le pilote tire Task/Project, consommés par TimeEntry/Mail/BookStack links restés legacy : ces liens passeront par les contrats ou un type-hint relâché).
 - **Collision de routes front** legacy vs layer (cf. §8).
 - **MCP tools** (spécificité Lesstime) : déplacés sous `Module/*/Infrastructure/Mcp/` ; confirmer que `McpSchemaGeneratorPass` les redécouvre (scan `src/`).
 - **`auto_mapping: true`** : valider que l'ajout d'un mapping explicite ne perturbe pas la résolution (sinon désactiver `auto_mapping` et lister explicitement).
 ## 12. Suite
 - Ticket **audit** dédié à créer (infra `#[Auditable]` + `audit_log` + listener + resource), prérequis souple de #57.
 - #57 RBAC fin (permissions `module.resource.action`, sidebar filtrée par permission).
 - #58 Répertoire (Clients/Prospects), #59 Reporting, #60 Refonte front Malio.
@@ -0,0 +1,161 @@
 # Roadmap — Migration Lesstime → modular monolith DDD (archi Starseed)
 > Plan de migration **complet** validé le 2026-06-19. Référence architecture : repo **Starseed**
 > (`.claude/rules/*.md` + implémentation réelle). Détail technique du socle : voir
 > `2026-06-19-lst-56-modular-monolith-design.md`.
 ## Principes directeurs
 - **Strangler progressif** : legacy (`src/Entity/…`) et modules (`src/Module/…`) coexistent ; l'app
  reste fonctionnelle et `make test` vert à **chaque** merge. Aucune migration destructive (prod Docker, BDD peuplée → migrations **additives nullable** uniquement).
 - **DDD pragmatique** (= Starseed réel) : ORM attrs dans l'entité Domain, Repository interface (Domain)
  + impl Doctrine (Infra), Provider/Processor API Platform, contrats `Shared/Domain/Contract` pour le
  cross-module. **Pas de CQRS bus, pas de multi-tenant.**
 - **Tranches verticales** : chaque module de Phase 2 est livré **back + front (layer Malio) + MCP**
  d'un coup → fonctionnel de bout en bout à son merge. L'ancienne idée d'un « ticket refonte front »
  global est dissoute : chaque module arrive déjà en Malio ; un ticket de finition harmonise à la fin.
 - **Ordre par dépendances** : socle → Core (identité/RBAC/audit) → modules métier → transverse/finition.
 - **Zéro import inter-modules** : interfaces `Shared/Domain/Contract` + `resolve_target_entities`,
  ou domain events / contrat `NotifierInterface`.
 ## Garde-fous Starseed (appliqués à chaque entité migrée)
 `declare(strict_types=1)` · `TimestampableBlamableTrait` (4 colonnes nullable) + subscriber ·
 pagination obligatoire · `COMMENT ON COLUMN` (helper `ColumnCommentsCatalog`) ·
 `#[Auditable]`/`#[AuditIgnore]` (dès que 1.3 est livré) · front `Malio*` + `usePaginatedList` +
 `useFormErrors` · RBAC `module.resource.action` (dès 1.2).
 ---
 ## Phase 0 — Socle (fondations, ne touche aucun métier)
 ### 0.1 · Socle back — infrastructure modulaire  *(réécrit depuis #56)*
 **Dépend de** : —
 `src/Shared/Domain/Contract/` (UserInterface, UserResolverInterface, ClientInterface, NotifierInterface),
 `Shared/Domain/Event/DomainEventInterface`, `Shared/Domain/Trait/TimestampableBlamableTrait`,
 `Shared/Infrastructure/Doctrine/TimestampableBlamableSubscriber`,
 `Shared/Infrastructure/Database/ColumnCommentsCatalog`,
 `Shared/Infrastructure/ApiPlatform/{Resource,State}` (`ModulesResource`/`ModulesProvider`,
 `SidebarResource`/`SidebarProvider`), `config/modules.php`, `config/sidebar.php`, `/api/version` aligné.
 Config additive : mapping Doctrine module prêt, `migrations_paths` modulaire, `api_platform.mapping.paths`.
 **AC** : `/api/modules` + `/api/sidebar` répondent ; app verte ; aucune migration destructive.
 ### 0.2 · Socle front — shell + auto-détection des layers
 **Dépend de** : 0.1
 `frontend/app/` (shell `layouts/default.vue`), `frontend/shared/` (`useApi` déplacé, `useSidebar`,
 `useModules`, stores), middlewares `auth.global.ts` + `modules.global.ts`, auto-détection des layers
 `modules/*/` dans `nuxt.config.ts`. **Aucune page métier déplacée** (app encore plate).
 **AC** : sidebar dynamique depuis `/api/sidebar` ; routes désactivées redirigées ; app verte.
 ---
 ## Phase 1 — Module Core (identité, sécurité, traçabilité — transverse)
 ### 1.1 · Core — Identité & Notifications
 **Dépend de** : 0.1, 0.2
 Migrer `User` + Auth/JWT dans `src/Module/Core/` (Domain/Entity, Repository interface + Doctrine impl,
 `MeProvider`, password hasher), `User implements UserInterface`, `resolve_target_entities → Core\User`.
 `Notification` exposée via `NotifierInterface`. `CoreModule.php` (**REQUIRED=true**). Front : layer
 `modules/core/` (login, profile, admin users).
 **AC** : login/JWT OK ; app verte ; aucun import direct `App\Entity\User` hors Core.
 ### 1.2 · RBAC fin  *(réécrit depuis #57)*
 **Dépend de** : 1.1
 `Role`/`Permission`, `permissions()` par module, commande `app:sync-permissions`, `PermissionVoter`,
 `SidebarProvider` filtrant **par permission** (en plus du module actif), seed RBAC. Front : gestion des
 rôles + `usePermissions`.
 **AC** : permissions `module.resource.action` ; sidebar gated par permission.
 ### 1.3 · Audit log  *(réécrit depuis #61)*
 **Dépend de** : 1.1
 `#[Auditable]`/`#[AuditIgnore]` (`Shared/Domain/Attribute`), table `audit_log` (migration additive +
 `COMMENT ON COLUMN`), `AuditListener`/`AuditLogWriter`/`RequestIdProvider`, `AuditLogResource` +
 `/api/audit-logs` paginé/filtrable, page front + labels i18n `audit.entity.*`.
 **AC** : CRUD des entités `#[Auditable]` tracé ; endpoint paginé ; aucune migration destructive.
 ---
 ## Phase 2 — Modules métier (tranches verticales back + front + MCP, strangler)
 ### 2.1 · Module TimeTracking  *(premier module — rodage)*
 **Dépend de** : 1.1
 Migrer `TimeEntry` → `src/Module/TimeTracking/` (Domain/Entity, repo, `ActiveTimeEntryProvider`,
 `TimeEntryExportService`/controller, MCP TimeEntry tools), front layer `modules/time-tracking/`
 (`time-tracking.vue`, components, services, store `timer`). Timestampable additif. **Rode toute la
 mécanique modulaire à risque quasi nul.**
 **AC** : time tracking fonctionnel en module ; activation/désactivation testée ; app verte.
 ### 2.2 · Module ProjectManagement  *(cœur métier — réécrit depuis #56 pilote)*
 **Dépend de** : 2.1, 1.1
 `Project, Task, Workflow, TaskStatus, TaskGroup, TaskEffort, TaskPriority, TaskTag, TaskRecurrence,
 TaskDocument` → `src/Module/ProjectManagement/` (vertical back + MCP Task/Project/TaskMeta/Workflow +
 front layer `modules/project-management/`). User/Client via contrats (Client encore legacy jusqu'à 2.4).
 Notifications via `NotifierInterface`. `#[ApiResource]` conservés (étendre le scan). Timestampable additif.
 **AC** : cœur en module sans régression API ; app verte.
 ### 2.3 · Module Absence
 **Dépend de** : 1.1
 `AbsenceRequest/AbsencePolicy/AbsenceBalance` + services (`AbsenceBalanceService`, `AbsenceDayCalculator`,
 `PublicHolidayProvider`) + controllers (calendar, preview, justificatif) + MCP absence tools →
 `src/Module/Absence/`, front layer `modules/absence/`.
 **AC** : module absences complet ; app verte.
 ### 2.4 · Module Directory — Clients + Prospects  *(réécrit depuis #58)*
 **Dépend de** : 1.1 (et après 2.2 qui référence Client via contrat)
 `Client` → `src/Module/Directory/` + nouvelle entité `Prospect`. L'impl de `ClientInterface` migre du
 legacy vers le module (`resolve_target_entities` mis à jour). Front répertoire (clients + prospects).
 **AC** : Clients + Prospects en module ; contrats à jour ; app verte.
 ### 2.5 · Module Mail
 **Dépend de** : 1.1, 2.2 (TaskMailLink → Task)
 `Mail*` + `TaskMailLink` + `MailSyncService` + controllers + settings → `src/Module/Mail/`, front layer.
 Intègre le WIP `feat/mail-integration`.
 **AC** : mail en module ; app verte.
 ### 2.6 · Module Integration — Gitea / BookStack / Zimbra / Share
 **Dépend de** : 1.1, 2.2 (liens Task)
 Configs + services API (`GiteaApiService`, `BookStackApiService`, `CalDavService`, Share) + controllers +
 liens → `src/Module/Integration/`, front (onglets admin + sections task).
 **AC** : intégrations en module ; app verte.
 ---
 ## Phase 3 — Transverse & finition
 ### 3.1 · Module Reporting  *(réécrit depuis #59)*
 **Dépend de** : Phase 2 (consomme les modules)
 Reporting natif transverse (agrège time tracking, tâches, absences) via contrats / API. Module
 `src/Module/Reporting/` + front.
 **AC** : rapports natifs ; aucune dépendance directe inter-modules.
 ### 3.2 · Module Portail client
 **Dépend de** : 1.1, 2.2, 2.4
 Portail client (accès restreint), module `src/Module/ClientPortal/` + front layer + RBAC dédié.
 **AC** : portail fonctionnel ; gated RBAC.
 ### 3.3 · Finition Malio + nettoyage legacy  *(réécrit depuis #60)*
 **Dépend de** : tout
 Harmonisation visuelle Malio finale, **vidage de `src/Entity/` legacy résiduel**, suppression du mapping
 Doctrine legacy + des pages plates `frontend/pages/` résiduelles, durcissement `resolve_target_entities`.
 **AC** : `src/Entity` vide ; 100 % modulaire ; app verte ; aucune route/legacy orpheline.
 ---
 ## Ordre d'exécution recommandé
 `0.1 → 0.2 → 1.1 → 1.2 → 1.3 → 2.1 → 2.2 → 2.3 → 2.4 → 2.5 → 2.6 → 3.1 → 3.2 → 3.3`
 Les tickets 1.2 et 1.3 peuvent se paralléliser après 1.1. Les modules 2.3 (Absence) et 2.4 (Directory)
 peuvent se paralléliser après 2.2. Mail (2.5) et Integration (2.6) suivent 2.2.
 ## Mapping avec les tickets Lesstime existants
 | Ancien | Devient |
 |--------|---------|
 | #56 (1/5 Aligner archi) | **0.1 Socle back** (le reste éclaté en 0.2 + 2.2) |
 | #57 (2/5 RBAC) | **1.2 RBAC fin** |
 | #58 (3/5 Répertoire) | **2.4 Directory** |
 | #59 (4/5 Reporting) | **3.1 Reporting** |
 | #60 (5/5 Front Malio) | **3.3 Finition Malio + nettoyage** (le front se fait par module) |
 | #61 (Audit) | **1.3 Audit log** |
 | *(créés)* | 0.2, 1.1, 2.1, 2.2, 2.3, 2.5, 2.6, 3.2 |
@@ -38,131 +38,47 @@
                    </button>
                </div>
                <nav class="flex-1 overflow-hidden" :class="sidebarIsCollapsed ? 'px-1 pb-6' : 'px-4 pb-6'">
-                    <SidebarLink
+                    <!-- Sections dynamiques (/api/sidebar) : navigation globale + sections gated par rôle -->
-                        to="/"
+                    <template v-for="(section, sIndex) in translatedSections" :key="section.label">
                        icon="mdi:view-dashboard-outline"
                        label="Tableau de bord"
                        :collapsed="sidebarIsCollapsed"
                        :class="sidebarIsCollapsed ? 'mt-4' : 'border-t border-secondary-500 pt-6'"
                        @click="ui.closeMobileSidebar()"
                    />
                    <!-- Section : Gestion de projet -->
                    <p v-if="!sidebarIsCollapsed" class="px-4 pt-5 pb-1 text-xs font-semibold uppercase tracking-wider text-neutral-400">
                        Gestion de projet
                    </p>
                    <div v-else class="mx-2 my-3 border-t border-secondary-500" />
                    <SidebarLink
                        to="/my-tasks"
                        icon="mdi:clipboard-check-outline"
                        label="Mes tâches"
                        :collapsed="sidebarIsCollapsed"
                        @click="ui.closeMobileSidebar()"
                    />
                    <SidebarLink
                        to="/projects"
                        icon="mdi:folder-outline"
                        label="Projets"
                        :collapsed="sidebarIsCollapsed"
                        @click="ui.closeMobileSidebar()"
                    />
                    <template v-if="currentProjectId">
                        <SidebarLink
                            :to="`/projects/${currentProjectId}`"
                            icon="mdi:view-column-outline"
                            label="Kanban"
                            :collapsed="sidebarIsCollapsed"
                            sub
                            exact
                            @click="ui.closeMobileSidebar()"
                        />
                        <SidebarLink
                            :to="`/projects/${currentProjectId}/groups`"
                            icon="mdi:tag-multiple-outline"
                            label="Groupes"
                            :collapsed="sidebarIsCollapsed"
                            sub
                            @click="ui.closeMobileSidebar()"
                        />
                        <SidebarLink
                            :to="`/projects/${currentProjectId}/archives`"
                            icon="mdi:archive-outline"
                            label="Archives"
                            :collapsed="sidebarIsCollapsed"
                            sub
                            @click="ui.closeMobileSidebar()"
                        />
                    </template>
                    <SidebarLink
                        to="/time-tracking"
                        icon="mdi:calendar-edit-outline"
                        label="Suivi de temps"
                        :collapsed="sidebarIsCollapsed"
                        @click="ui.closeMobileSidebar()"
                    />
                    <SidebarLink
                        v-if="isDocumentsVisible"
                        to="/documents"
                        icon="mdi:folder-network-outline"
                        :label="$t('sharedFiles.sidebar.title')"
                        :collapsed="sidebarIsCollapsed"
                        @click="ui.closeMobileSidebar()"
                    />
                    <div v-if="isMailVisible" class="relative">
                        <SidebarLink
                            to="/mail"
                            icon="mdi:email-outline"
                            :label="$t('mail.sidebar.title')"
                            :collapsed="sidebarIsCollapsed"
                            @click="ui.closeMobileSidebar()"
                        />
                        <span
                            v-if="mailStore.globalUnreadCount > 0"
                            class="pointer-events-none absolute right-3 top-1/2 flex h-5 min-w-5 -translate-y-1/2 items-center justify-center rounded-full bg-red-500 px-1 text-xs font-bold text-white"
                            :class="{ 'right-1 top-1 translate-y-0': sidebarIsCollapsed }"
                            :aria-label="`${mailStore.globalUnreadCount} messages non lus`"
                        >
                            {{ mailStore.globalUnreadCount > 99 ? '99+' : mailStore.globalUnreadCount }}
                        </span>
                    </div>
                    <!-- Section : Absences -->
                    <template v-if="isAbsenceSectionVisible">
                        <p v-if="!sidebarIsCollapsed" class="px-4 pt-5 pb-1 text-xs font-semibold uppercase tracking-wider text-neutral-400">
-                            Absences
+                            {{ section.label }}
                        </p>
                        <div v-else class="mx-2 my-3 border-t border-secondary-500" />
                    </template>
                    <SidebarLink
                        v-if="isEmployee"
                        to="/absences"
                        icon="mdi:umbrella-beach-outline"
                        label="Mes absences"
                        :collapsed="sidebarIsCollapsed"
                        @click="ui.closeMobileSidebar()"
                    />
                    <SidebarLink
                        v-if="isAdmin"
                        to="/team-absences"
                        icon="mdi:calendar-account-outline"
                        label="Absences équipe"
                        :collapsed="sidebarIsCollapsed"
                        @click="ui.closeMobileSidebar()"
                    />
                    <!-- Section : Administration (admin only) -->
                    <template v-if="isAdmin">
                        <p v-if="!sidebarIsCollapsed" class="px-4 pt-5 pb-1 text-xs font-semibold uppercase tracking-wider text-neutral-400">
                            Administration
                        </p>
                        <div v-else class="mx-2 my-3 border-t border-secondary-500" />
                        <SidebarLink
-                            to="/admin"
+                            v-for="item in section.items"
-                            icon="mdi:cog-outline"
+                            :key="item.to"
-                            label="Administration"
+                            :to="item.to"
                            :icon="item.icon"
                            :label="item.label"
                            :collapsed="sidebarIsCollapsed"
                            @click="ui.closeMobileSidebar()"
                        />
                        <!-- Items conservés côté client, insérés après la 1re section (cf. décision 3) -->
                        <template v-if="sIndex === 0">
                            <!-- Contextuel projet -->
                            <template v-if="currentProjectId">
                                <SidebarLink :to="`/projects/${currentProjectId}`" icon="mdi:view-column-outline" label="Kanban" :collapsed="sidebarIsCollapsed" sub exact @click="ui.closeMobileSidebar()" />
                                <SidebarLink :to="`/projects/${currentProjectId}/groups`" icon="mdi:tag-multiple-outline" label="Groupes" :collapsed="sidebarIsCollapsed" sub @click="ui.closeMobileSidebar()" />
                                <SidebarLink :to="`/projects/${currentProjectId}/archives`" icon="mdi:archive-outline" label="Archives" :collapsed="sidebarIsCollapsed" sub @click="ui.closeMobileSidebar()" />
                            </template>
                            <!-- Feature-flag : Documents -->
                            <SidebarLink v-if="isDocumentsVisible" to="/documents" icon="mdi:folder-network-outline" :label="$t('sharedFiles.sidebar.title')" :collapsed="sidebarIsCollapsed" @click="ui.closeMobileSidebar()" />
                            <!-- Feature-flag : Mail + badge -->
                            <div v-if="isMailVisible" class="relative">
                                <SidebarLink to="/mail" icon="mdi:email-outline" :label="$t('mail.sidebar.title')" :collapsed="sidebarIsCollapsed" @click="ui.closeMobileSidebar()" />
                                <span
                                    v-if="mailStore.globalUnreadCount > 0"
                                    class="pointer-events-none absolute right-3 top-1/2 flex h-5 min-w-5 -translate-y-1/2 items-center justify-center rounded-full bg-red-500 px-1 text-xs font-bold text-white"
                                    :class="{ 'right-1 top-1 translate-y-0': sidebarIsCollapsed }"
                                    :aria-label="`${mailStore.globalUnreadCount} messages non lus`"
                                >
                                    {{ mailStore.globalUnreadCount > 99 ? '99+' : mailStore.globalUnreadCount }}
                                </span>
                            </div>
                            <!-- User-flag : Mes absences (isEmployee — non couvert par le gate rôle) -->
                            <SidebarLink v-if="isEmployee" to="/absences" icon="mdi:umbrella-beach-outline" label="Mes absences" :collapsed="sidebarIsCollapsed" @click="ui.closeMobileSidebar()" />
                        </template>
                    </template>
                </nav>
@@ -220,10 +136,22 @@ const ui = useUiStore()
 const mailStore = useMailStore()
 const {version} = useAppVersion()
 const route = useRoute()
 const { t } = useI18n()
 const { sections } = useSidebar()
 const translatedSections = computed(() =>
    sections.value.map((section) => ({
        label: t(section.label),
        icon: section.icon,
        items: section.items.map((item) => ({
            label: t(item.label),
            to: item.to,
            icon: item.icon,
        })),
    })),
 )
 const isAdmin = computed(() => (auth.user?.roles ?? []).includes('ROLE_ADMIN'))
 const isEmployee = computed(() => Boolean(auth.user?.isEmployee))
 const isAbsenceSectionVisible = computed(() => isEmployee.value || isAdmin.value)
 const isMailVisible = computed(() => {
    const roles: string[] = auth.user?.roles ?? []
@@ -0,0 +1,30 @@
 export default defineNuxtRouteMiddleware(async (to) => {
    const auth = useAuthStore()
    const isLogin = to.path === '/login'
    if (!auth.checked) {
        await auth.ensureSession()
    }
    if (!isLogin && !auth.isAuthenticated) {
        return navigateTo('/login')
    }
    if (isLogin && auth.isAuthenticated) {
        return navigateTo('/')
    }
    const { loaded: sidebarLoaded, loadSidebar, resetSidebar } = useSidebar()
    const { loaded: modulesLoaded, loadModules, resetModules } = useModules()
    if (auth.isAuthenticated) {
        await Promise.all([
            sidebarLoaded.value ? Promise.resolve() : loadSidebar(),
            modulesLoaded.value ? Promise.resolve() : loadModules(),
        ])
    } else {
        // Logout / session expirée : purge l'état partagé pour le prochain login.
        resetSidebar()
        resetModules()
    }
 })
@@ -0,0 +1,15 @@
 export default defineNuxtRouteMiddleware(async (to) => {
    const auth = useAuthStore()
    if (!auth.isAuthenticated) {
        return
    }
    const { loaded, loadSidebar, isRouteDisabled } = useSidebar()
    if (!loaded.value) {
        await loadSidebar()
    }
    if (isRouteDisabled(to.path)) {
        return navigateTo('/')
    }
 })
@@ -8,7 +8,7 @@ import { useMailService } from '~/services/mail'
 import { useProjectService } from '~/services/projects'
 import { useTaskGroupService } from '~/services/task-groups'
 import { useUserService } from '~/services/users'
-import { useAuthStore } from '~/stores/auth'
+import { useAuthStore } from '~/shared/stores/auth'
 const props = defineProps<{
    modelValue: boolean
@@ -296,7 +296,19 @@
        }
    },
    "sidebar": {
-        "myTasks": "Mes tâches"
+        "myTasks": "Mes tâches",
        "general": {
            "section": "Gestion de projet",
            "dashboard": "Tableau de bord",
            "myTasks": "Mes tâches",
            "projects": "Projets",
            "timeTracking": "Suivi de temps"
        },
        "admin": {
            "section": "Administration",
            "teamAbsences": "Absences équipe",
            "administration": "Administration"
        }
    },
    "common": {
        "cancel": "Annuler",
@@ -1,16 +0,0 @@
 export default defineNuxtRouteMiddleware(async (to) => {
    const auth = useAuthStore()
    const isLogin = to.path === '/login'
    if (!auth.checked) {
        await auth.ensureSession()
    }
    if (!isLogin && !auth.isAuthenticated) {
        return navigateTo('/login')
    }
    if (isLogin && auth.isAuthenticated) {
        return navigateTo('/')
    }
 })
@@ -1,14 +1,32 @@
 import { existsSync, readdirSync } from 'node:fs'
 import { resolve } from 'node:path'
 const modulesDir = resolve(__dirname, 'modules')
 const moduleDirs = existsSync(modulesDir)
    ? readdirSync(modulesDir, { withFileTypes: true })
        .filter((d) => d.isDirectory())
        .map((d) => d.name)
    : []
 const moduleLayers = moduleDirs.map((name) => `./modules/${name}`)
 const moduleComposableDirs = moduleDirs
    .map((name) => `modules/${name}/composables`)
    .filter((path) => existsSync(resolve(__dirname, path)))
 const moduleStoreDirs = moduleDirs
    .map((name) => `modules/${name}/stores`)
    .filter((path) => existsSync(resolve(__dirname, path)))
 export default defineNuxtConfig({
    compatibilityDate: '2025-07-15',
-    devtools: {enabled: false},
+    devtools: { enabled: false },
    ssr: false,
    srcDir: '.',
    css: ['~/assets/css/app.css', '~/assets/css/dark.css'],
    app: {
        baseURL: process.env.NODE_ENV === 'production'
            ? (process.env.NUXT_PUBLIC_APP_BASE || '/')
-            : '/'
+            : '/',
    },
-    extends: ['@malio/layer-ui'],
+    extends: ['@malio/layer-ui', ...moduleLayers],
    modules: [
        '@nuxtjs/tailwindcss',
        '@pinia/nuxt',
@@ -16,16 +34,35 @@ export default defineNuxtConfig({
        '@nuxtjs/i18n',
        '@nuxt/icon',
    ],
    dir: {
        layouts: 'app/layouts',
        middleware: 'app/middleware',
    },
    imports: {
        dirs: [
            'shared/composables',
            'shared/stores',
            'shared/utils',
            'composables',
            'stores',
            'utils',
            ...moduleComposableDirs,
            ...moduleStoreDirs,
        ],
    },
    pinia: {
        storesDirs: ['shared/stores/**', 'stores/**', 'modules/*/stores/**'],
    },
    runtimeConfig: {
        public: {
-            apiBase: process.env.NUXT_PUBLIC_API_BASE
+            apiBase: process.env.NUXT_PUBLIC_API_BASE,
-        }
+        },
    },
    devServer: {
        port: 3002,
    },
    components: [
-        {path: '~/components', pathPrefix: false},
+        { path: '~/components', pathPrefix: false },
    ],
    vite: {
        server: {
@@ -56,10 +93,6 @@ export default defineNuxtConfig({
            {code: 'fr', file: 'fr.json', name: 'Français'}
        ],
    },
-    typescript: {
+    typescript: { strict: true },
-        strict: true
+    build: { transpile: ['@vuepic/vue-datepicker'] },
    },
    build: {
        transpile: ['@vuepic/vue-datepicker']
    }
 })
@@ -1,6 +1,6 @@
 import type { FetchOptions } from 'ofetch'
 import { $fetch, FetchError } from 'ofetch'
-import { useAuthStore } from '~/stores/auth'
+import { useAuthStore } from '~/shared/stores/auth'
 export type AnyObject = Record<string, unknown>
@@ -0,0 +1,22 @@
 const activeModuleIds = ref<string[]>([])
 const loaded = ref(false)
 export function useModules() {
    async function loadModules(): Promise<void> {
        const api = useApi()
        const data = await api.get<{ modules: string[] }>('/modules', {}, { toast: false })
        activeModuleIds.value = data.modules ?? []
        loaded.value = true
    }
    function isModuleActive(id: string): boolean {
        return activeModuleIds.value.includes(id)
    }
    function resetModules(): void {
        activeModuleIds.value = []
        loaded.value = false
    }
    return { activeModuleIds, loaded, loadModules, isModuleActive, resetModules }
 }
@@ -0,0 +1,31 @@
 import type { SidebarSection } from '~/shared/types/sidebar'
 const sections = ref<SidebarSection[]>([])
 const disabledRoutes = ref<string[]>([])
 const loaded = ref(false)
 export function useSidebar() {
    async function loadSidebar(): Promise<void> {
        const api = useApi()
        const data = await api.get<{ sections: SidebarSection[]; disabledRoutes: string[] }>(
            '/sidebar', {}, { toast: false },
        )
        sections.value = data.sections ?? []
        disabledRoutes.value = data.disabledRoutes ?? []
        loaded.value = true
    }
    function isRouteDisabled(path: string): boolean {
        return disabledRoutes.value.some(
            (disabled) => path === disabled || path.startsWith(disabled + '/'),
        )
    }
    function resetSidebar(): void {
        sections.value = []
        disabledRoutes.value = []
        loaded.value = false
    }
    return { sections, disabledRoutes, loaded, loadSidebar, isRouteDisabled, resetSidebar }
 }
@@ -0,0 +1,11 @@
 export type SidebarItem = {
    label: string
    to: string
    icon: string
 }
 export type SidebarSection = {
    label: string
    icon: string
    items: SidebarItem[]
 }
@@ -73,7 +73,7 @@ COPY --from=frontend-build /app/frontend/.output/public /var/www/html/frontend/.
 RUN echo "APP_ENV=prod" > /var/www/html/.env
 # Permissions
-RUN mkdir -p /var/www/html/var /var/www/html/var/uploads /var/www/html/var/mcp-sessions \
+RUN mkdir -p /var/www/html/var /var/www/html/var/log /var/www/html/var/uploads /var/www/html/var/mcp-sessions \
    && chown -R www-data:www-data /var/www/html/var
 WORKDIR /var/www/html
@@ -13,6 +13,7 @@ use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Enum\ContractType;
 use App\Repository\UserRepository;
 use App\Shared\Domain\Contract\UserInterface as SharedUserInterface;
 use App\State\MeProvider;
 use App\State\UserPasswordHasherProcessor;
 use DateTimeImmutable;
@@ -44,7 +45,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 )]
 #[ORM\Entity(repositoryClass: UserRepository::class)]
 #[ORM\Table(name: '`user`')]
-class User implements UserInterface, PasswordAuthenticatedUserInterface
+class User implements UserInterface, PasswordAuthenticatedUserInterface, SharedUserInterface
 {
    #[ORM\Id]
    #[ORM\GeneratedValue]
@@ -0,0 +1,12 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Application;
 use App\Shared\Domain\Contract\UserInterface;
 interface CurrentUserProviderInterface
 {
    public function getCurrentUser(): ?UserInterface;
 }
@@ -0,0 +1,16 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Contract;
 interface BlamableInterface
 {
    public function getCreatedBy(): ?UserInterface;
    public function setCreatedBy(?UserInterface $user): void;
    public function getUpdatedBy(): ?UserInterface;
    public function setUpdatedBy(?UserInterface $user): void;
 }
@@ -0,0 +1,18 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Contract;
 use DateTimeImmutable;
 interface TimestampableInterface
 {
    public function getCreatedAt(): ?DateTimeImmutable;
    public function setCreatedAt(DateTimeImmutable $createdAt): void;
    public function getUpdatedAt(): ?DateTimeImmutable;
    public function setUpdatedAt(DateTimeImmutable $updatedAt): void;
 }
@@ -0,0 +1,10 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Contract;
 interface UserInterface
 {
    public function getId(): ?int;
 }
@@ -0,0 +1,23 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Module;
 /**
 * Implemented by every `*Module` declaration class. The set of active modules
 * is listed in config/modules.php and exposed via GET /api/modules.
 */
 interface ModuleInterface
 {
    public static function id(): string;
    public static function label(): string;
    public static function isRequired(): bool;
    /**
     * @return list<array{code: string, label: string}>
     */
    public static function permissions(): array;
 }
@@ -0,0 +1,25 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Module;
 final class ModuleRegistry
 {
    /**
     * @param list<class-string> $moduleClasses
     *
     * @return list<string>
     */
    public static function ids(array $moduleClasses): array
    {
        $ids = [];
        foreach ($moduleClasses as $moduleClass) {
            if (is_a($moduleClass, ModuleInterface::class, true)) {
                $ids[] = $moduleClass::id();
            }
        }
        return $ids;
    }
 }
@@ -0,0 +1,71 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Sidebar;
 final class SidebarFilter
 {
    /**
     * @param list<array{label:string, icon:string, roles?:list<string>, items: list<array{label:string, to:string, icon:string, module?:string, roles?:list<string>}>}> $sections
     * @param list<string>                                                                                                                                               $activeModuleIds
     * @param list<string>                                                                                                                                               $activeRoles
     *
     * @return array{sections: list<array{label:string, icon:string, items: list<array{label:string, to:string, icon:string}>}>, disabledRoutes: list<string>}
     */
    public static function filter(array $sections, array $activeModuleIds, array $activeRoles = []): array
    {
        $outSections    = [];
        $disabledRoutes = [];
        foreach ($sections as $section) {
            // Gate de rôle au niveau section (ne pollue pas disabledRoutes : réservé au filtrage module).
            if (!self::rolesSatisfied($section['roles'] ?? null, $activeRoles)) {
                continue;
            }
            $items = [];
            foreach ($section['items'] as $item) {
                // Gate de rôle au niveau item.
                if (!self::rolesSatisfied($item['roles'] ?? null, $activeRoles)) {
                    continue;
                }
                // Filtrage par module actif (pilote la redirection front via disabledRoutes).
                $module = $item['module'] ?? null;
                if (null !== $module && !in_array($module, $activeModuleIds, true)) {
                    $disabledRoutes[] = $item['to'];
                    continue;
                }
                $items[] = ['label' => $item['label'], 'to' => $item['to'], 'icon' => $item['icon']];
            }
            if ([] !== $items) {
                $outSections[] = ['label' => $section['label'], 'icon' => $section['icon'], 'items' => $items];
            }
        }
        return ['sections' => $outSections, 'disabledRoutes' => $disabledRoutes];
    }
    /**
     * @param null|list<string> $required
     * @param list<string>      $activeRoles
     */
    private static function rolesSatisfied(?array $required, array $activeRoles): bool
    {
        if (null === $required || [] === $required) {
            return true;
        }
        foreach ($required as $role) {
            if (in_array($role, $activeRoles, true)) {
                return true;
            }
        }
        return false;
    }
 }
@@ -0,0 +1,71 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Domain\Trait;
 use App\Shared\Domain\Contract\UserInterface;
 use DateTimeImmutable;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 trait TimestampableBlamableTrait
 {
    #[ORM\Column(name: 'created_at', type: 'datetime_immutable', nullable: true)]
    #[Groups(['timestampable:read'])]
    private ?DateTimeImmutable $createdAt = null;
    #[ORM\Column(name: 'updated_at', type: 'datetime_immutable', nullable: true)]
    #[Groups(['timestampable:read'])]
    private ?DateTimeImmutable $updatedAt = null;
    #[ORM\ManyToOne(targetEntity: UserInterface::class)]
    #[ORM\JoinColumn(name: 'created_by', referencedColumnName: 'id', nullable: true, onDelete: 'SET NULL')]
    #[Groups(['blamable:read'])]
    private ?UserInterface $createdBy = null;
    #[ORM\ManyToOne(targetEntity: UserInterface::class)]
    #[ORM\JoinColumn(name: 'updated_by', referencedColumnName: 'id', nullable: true, onDelete: 'SET NULL')]
    #[Groups(['blamable:read'])]
    private ?UserInterface $updatedBy = null;
    public function getCreatedAt(): ?DateTimeImmutable
    {
        return $this->createdAt;
    }
    public function setCreatedAt(DateTimeImmutable $createdAt): void
    {
        $this->createdAt = $createdAt;
    }
    public function getUpdatedAt(): ?DateTimeImmutable
    {
        return $this->updatedAt;
    }
    public function setUpdatedAt(DateTimeImmutable $updatedAt): void
    {
        $this->updatedAt = $updatedAt;
    }
    public function getCreatedBy(): ?UserInterface
    {
        return $this->createdBy;
    }
    public function setCreatedBy(?UserInterface $user): void
    {
        $this->createdBy = $user;
    }
    public function getUpdatedBy(): ?UserInterface
    {
        return $this->updatedBy;
    }
    public function setUpdatedBy(?UserInterface $user): void
    {
        $this->updatedBy = $user;
    }
 }
@@ -0,0 +1,28 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\ApiPlatform\Resource;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Get;
 use App\Shared\Infrastructure\ApiPlatform\State\ModulesProvider;
 use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new Get(
            uriTemplate: '/modules',
            normalizationContext: ['groups' => ['modules:read']],
            provider: ModulesProvider::class,
        ),
    ],
 )]
 final class ModulesResource
 {
    /**
     * @var list<string>
     */
    #[Groups(['modules:read'])]
    public array $modules = [];
 }
@@ -0,0 +1,34 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\ApiPlatform\Resource;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Get;
 use App\Shared\Infrastructure\ApiPlatform\State\SidebarProvider;
 use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new Get(
            uriTemplate: '/sidebar',
            normalizationContext: ['groups' => ['sidebar:read']],
            provider: SidebarProvider::class,
        ),
    ],
 )]
 final class SidebarResource
 {
    /**
     * @var list<array{label:string, icon:string, items: list<array{label:string, to:string, icon:string}>}>
     */
    #[Groups(['sidebar:read'])]
    public array $sections = [];
    /**
     * @var list<string>
     */
    #[Groups(['sidebar:read'])]
    public array $disabledRoutes = [];
 }
@@ -0,0 +1,30 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\ApiPlatform\State;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProviderInterface;
 use App\Shared\Domain\Module\ModuleRegistry;
 use App\Shared\Infrastructure\ApiPlatform\Resource\ModulesResource;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 final readonly class ModulesProvider implements ProviderInterface
 {
    public function __construct(
        #[Autowire('%kernel.project_dir%')]
        private string $projectDir,
    ) {}
    public function provide(Operation $operation, array $uriVariables = [], array $context = []): ModulesResource
    {
        /** @var list<class-string> $classes */
        $classes = require $this->projectDir.'/config/modules.php';
        $dto          = new ModulesResource();
        $dto->modules = ModuleRegistry::ids($classes);
        return $dto;
    }
 }
@@ -0,0 +1,42 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\ApiPlatform\State;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProviderInterface;
 use App\Shared\Domain\Module\ModuleRegistry;
 use App\Shared\Domain\Sidebar\SidebarFilter;
 use App\Shared\Infrastructure\ApiPlatform\Resource\SidebarResource;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 final readonly class SidebarProvider implements ProviderInterface
 {
    public function __construct(
        #[Autowire('%kernel.project_dir%')]
        private string $projectDir,
        private Security $security,
    ) {}
    public function provide(Operation $operation, array $uriVariables = [], array $context = []): SidebarResource
    {
        /** @var list<class-string> $moduleClasses */
        $moduleClasses = require $this->projectDir.'/config/modules.php';
        /** @var list<array{label:string, icon:string, roles?:list<string>, items: list<array{label:string, to:string, icon:string, module?:string, roles?:list<string>}>}> $sidebar */
        $sidebar = require $this->projectDir.'/config/sidebar.php';
        $user  = $this->security->getUser();
        $roles = null !== $user ? $user->getRoles() : [];
        $filtered = SidebarFilter::filter($sidebar, ModuleRegistry::ids($moduleClasses), array_values($roles));
        $dto                 = new SidebarResource();
        $dto->sections       = $filtered['sections'];
        $dto->disabledRoutes = $filtered['disabledRoutes'];
        return $dto;
    }
 }
@@ -0,0 +1,24 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\Database;
 final class ColumnCommentsCatalog
 {
    /**
     * SQL `COMMENT ON COLUMN` statements for the 4 standard Timestampable/Blamable columns.
     * Call from a migration: foreach (...) { $this->addSql($statement); }.
     *
     * @return list<string>
     */
    public static function timestampableBlamableComments(string $table): array
    {
        return [
            "COMMENT ON COLUMN {$table}.created_at IS 'Date de creation (UTC). Rempli automatiquement (Timestampable).'",
            "COMMENT ON COLUMN {$table}.updated_at IS 'Date de derniere modification (UTC). Rempli automatiquement (Timestampable).'",
            "COMMENT ON COLUMN {$table}.created_by IS 'Auteur de la creation (FK user, SET NULL). Rempli automatiquement (Blamable).'",
            "COMMENT ON COLUMN {$table}.updated_by IS 'Auteur de la derniere modification (FK user, SET NULL). Rempli automatiquement (Blamable).'",
        ];
    }
 }
@@ -0,0 +1,64 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\Doctrine;
 use App\Shared\Application\CurrentUserProviderInterface;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use DateTimeImmutable;
 use Doctrine\Bundle\DoctrineBundle\Attribute\AsDoctrineListener;
 use Doctrine\ORM\Event\PrePersistEventArgs;
 use Doctrine\ORM\Event\PreUpdateEventArgs;
 use Doctrine\ORM\Events;
 #[AsDoctrineListener(event: Events::prePersist)]
 #[AsDoctrineListener(event: Events::preUpdate)]
 final readonly class TimestampableBlamableSubscriber
 {
    public function __construct(
        private CurrentUserProviderInterface $currentUserProvider,
    ) {}
    public function prePersist(PrePersistEventArgs $args): void
    {
        $this->applyOnCreate($args->getObject());
    }
    public function preUpdate(PreUpdateEventArgs $args): void
    {
        $this->applyOnUpdate($args->getObject());
    }
    public function applyOnCreate(object $entity): void
    {
        $now = new DateTimeImmutable();
        if ($entity instanceof TimestampableInterface) {
            if (null === $entity->getCreatedAt()) {
                $entity->setCreatedAt($now);
            }
            $entity->setUpdatedAt($now);
        }
        if ($entity instanceof BlamableInterface) {
            $user = $this->currentUserProvider->getCurrentUser();
            if (null === $entity->getCreatedBy()) {
                $entity->setCreatedBy($user);
            }
            $entity->setUpdatedBy($user);
        }
    }
    public function applyOnUpdate(object $entity): void
    {
        if ($entity instanceof TimestampableInterface) {
            $entity->setUpdatedAt(new DateTimeImmutable());
        }
        if ($entity instanceof BlamableInterface) {
            $entity->setUpdatedBy($this->currentUserProvider->getCurrentUser());
        }
    }
 }
@@ -0,0 +1,23 @@
 <?php
 declare(strict_types=1);
 namespace App\Shared\Infrastructure\Security;
 use App\Shared\Application\CurrentUserProviderInterface;
 use App\Shared\Domain\Contract\UserInterface;
 use Symfony\Bundle\SecurityBundle\Security;
 final readonly class SecurityCurrentUserProvider implements CurrentUserProviderInterface
 {
    public function __construct(
        private Security $security,
    ) {}
    public function getCurrentUser(): ?UserInterface
    {
        $user = $this->security->getUser();
        return $user instanceof UserInterface ? $user : null;
    }
 }
@@ -0,0 +1,24 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Functional\Shared;
 use Symfony\Bundle\FrameworkBundle\Test\WebTestCase;
 /**
 * @internal
 */
 final class ModulesEndpointTest extends WebTestCase
 {
    public function testModulesEndpointIsPublicAndReturnsModulesKey(): void
    {
        $client = self::createClient();
        $client->request('GET', '/api/modules');
        self::assertResponseIsSuccessful();
        $data = json_decode($client->getResponse()->getContent(), true);
        self::assertArrayHasKey('modules', $data);
        self::assertIsArray($data['modules']);
    }
 }
@@ -0,0 +1,69 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Functional\Shared;
 use App\Entity\User;
 use Symfony\Bundle\FrameworkBundle\Test\WebTestCase;
 /**
 * @internal
 */
 final class SidebarEndpointTest extends WebTestCase
 {
    public function testSidebarRequiresAuthentication(): void
    {
        $client = self::createClient();
        $client->request('GET', '/api/sidebar');
        self::assertResponseStatusCodeSame(401);
    }
    public function testSidebarReturnsSectionsForAuthenticatedUser(): void
    {
        $client = self::createClient();
        $em     = self::getContainer()->get('doctrine.orm.entity_manager');
        $user = $em->getRepository(User::class)->findOneBy(['username' => 'alice']);
        $client->loginUser($user);
        $client->request('GET', '/api/sidebar');
        self::assertResponseIsSuccessful();
        $data = json_decode($client->getResponse()->getContent(), true);
        self::assertArrayHasKey('sections', $data);
        self::assertArrayHasKey('disabledRoutes', $data);
        self::assertNotEmpty($data['sections']);
    }
    public function testAdminSectionHiddenForNonAdmin(): void
    {
        $client = self::createClient();
        $em     = self::getContainer()->get('doctrine.orm.entity_manager');
        $user = $em->getRepository(User::class)->findOneBy(['username' => 'alice']); // ROLE_USER
        $client->loginUser($user);
        $client->request('GET', '/api/sidebar');
        $data   = json_decode($client->getResponse()->getContent(), true);
        $labels = array_column($data['sections'], 'label');
        self::assertNotContains('sidebar.admin.section', $labels);
    }
    public function testAdminSectionVisibleForAdmin(): void
    {
        $client = self::createClient();
        $em     = self::getContainer()->get('doctrine.orm.entity_manager');
        $user = $em->getRepository(User::class)->findOneBy(['username' => 'admin']); // ROLE_ADMIN
        $client->loginUser($user);
        $client->request('GET', '/api/sidebar');
        $data   = json_decode($client->getResponse()->getContent(), true);
        $labels = array_column($data['sections'], 'label');
        self::assertContains('sidebar.admin.section', $labels);
    }
 }
@@ -0,0 +1,33 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Unit\Shared\Database;
 use App\Shared\Infrastructure\Database\ColumnCommentsCatalog;
 use PHPUnit\Framework\TestCase;
 /**
 * @internal
 */
 final class ColumnCommentsCatalogTest extends TestCase
 {
    public function testTimestampableBlamableCommentsCoverFourColumns(): void
    {
        $sql = ColumnCommentsCatalog::timestampableBlamableComments('task');
        self::assertCount(4, $sql);
        self::assertSame(
            "COMMENT ON COLUMN task.created_at IS 'Date de creation (UTC). Rempli automatiquement (Timestampable).'",
            $sql[0],
        );
        self::assertStringContainsString('COMMENT ON COLUMN task.created_by IS', $sql[2]);
    }
    public function testTableNameIsInterpolatedForEveryColumn(): void
    {
        foreach (ColumnCommentsCatalog::timestampableBlamableComments('time_entry') as $statement) {
            self::assertStringContainsString('COMMENT ON COLUMN time_entry.', $statement);
        }
    }
 }
@@ -0,0 +1,91 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Unit\Shared\Doctrine;
 use App\Shared\Application\CurrentUserProviderInterface;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Contract\UserInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use App\Shared\Infrastructure\Doctrine\TimestampableBlamableSubscriber;
 use DateTimeImmutable;
 use PHPUnit\Framework\TestCase;
 use stdClass;
 /**
 * @internal
 */
 final class TimestampableBlamableSubscriberTest extends TestCase
 {
    public function testApplyOnCreateSetsTimestampsAndAuthor(): void
    {
        $user       = $this->makeUser(7);
        $subscriber = new TimestampableBlamableSubscriber($this->providerReturning($user));
        $entity     = $this->makeEntity();
        $subscriber->applyOnCreate($entity);
        self::assertInstanceOf(DateTimeImmutable::class, $entity->getCreatedAt());
        self::assertInstanceOf(DateTimeImmutable::class, $entity->getUpdatedAt());
        self::assertSame($user, $entity->getCreatedBy());
        self::assertSame($user, $entity->getUpdatedBy());
    }
    public function testApplyOnUpdateLeavesCreatedUntouched(): void
    {
        $creator = $this->makeUser(1);
        $editor  = $this->makeUser(2);
        $entity  = $this->makeEntity();
        new TimestampableBlamableSubscriber($this->providerReturning($creator))->applyOnCreate($entity);
        $createdAt = $entity->getCreatedAt();
        new TimestampableBlamableSubscriber($this->providerReturning($editor))->applyOnUpdate($entity);
        self::assertSame($createdAt, $entity->getCreatedAt());
        self::assertSame($creator, $entity->getCreatedBy());
        self::assertSame($editor, $entity->getUpdatedBy());
    }
    public function testApplyOnCreateIgnoresNonTimestampableEntities(): void
    {
        $subscriber = new TimestampableBlamableSubscriber($this->providerReturning(null));
        // Must not throw.
        $subscriber->applyOnCreate(new stdClass());
        $this->addToAssertionCount(1);
    }
    private function providerReturning(?UserInterface $user): CurrentUserProviderInterface
    {
        return new class($user) implements CurrentUserProviderInterface {
            public function __construct(private ?UserInterface $user) {}
            public function getCurrentUser(): ?UserInterface
            {
                return $this->user;
            }
        };
    }
    private function makeUser(int $id): UserInterface
    {
        return new class($id) implements UserInterface {
            public function __construct(private int $id) {}
            public function getId(): ?int
            {
                return $this->id;
            }
        };
    }
    private function makeEntity(): object
    {
        return new class implements TimestampableInterface, BlamableInterface {
            use TimestampableBlamableTrait;
        };
    }
 }
@@ -0,0 +1,81 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Unit\Shared\Module;
 use App\Shared\Domain\Module\ModuleInterface;
 use App\Shared\Domain\Module\ModuleRegistry;
 use PHPUnit\Framework\TestCase;
 use stdClass;
 /**
 * @internal
 */
 final class ModuleRegistryTest extends TestCase
 {
    public function testIdsExtractsDeclaredModuleIds(): void
    {
        $classes = [FakeAlphaModule::class, FakeBetaModule::class];
        self::assertSame(['alpha', 'beta'], ModuleRegistry::ids($classes));
    }
    public function testIdsIgnoresClassesNotImplementingModuleInterface(): void
    {
        $classes = [FakeAlphaModule::class, stdClass::class];
        self::assertSame(['alpha'], ModuleRegistry::ids($classes));
    }
    public function testIdsReturnsEmptyArrayForNoModules(): void
    {
        self::assertSame([], ModuleRegistry::ids([]));
    }
 }
 final class FakeAlphaModule implements ModuleInterface
 {
    public static function id(): string
    {
        return 'alpha';
    }
    public static function label(): string
    {
        return 'Alpha';
    }
    public static function isRequired(): bool
    {
        return false;
    }
    public static function permissions(): array
    {
        return [];
    }
 }
 final class FakeBetaModule implements ModuleInterface
 {
    public static function id(): string
    {
        return 'beta';
    }
    public static function label(): string
    {
        return 'Beta';
    }
    public static function isRequired(): bool
    {
        return true;
    }
    public static function permissions(): array
    {
        return [];
    }
 }
@@ -0,0 +1,106 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Unit\Shared\Sidebar;
 use App\Shared\Domain\Sidebar\SidebarFilter;
 use PHPUnit\Framework\TestCase;
 /**
 * @internal
 */
 final class SidebarFilterTest extends TestCase
 {
    public function testItemWithoutModuleIsAlwaysVisible(): void
    {
        $sections = [
            ['label' => 'sidebar.core.section', 'icon' => 'mdi:home', 'items' => [
                ['label' => 'sidebar.core.dashboard', 'to' => '/', 'icon' => 'mdi:view-dashboard'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertCount(1, $result['sections']);
        self::assertSame('/', $result['sections'][0]['items'][0]['to']);
        self::assertSame([], $result['disabledRoutes']);
        self::assertArrayNotHasKey('module', $result['sections'][0]['items'][0]);
    }
    public function testItemWithInactiveModuleIsHiddenAndRouteDisabled(): void
    {
        $sections = [
            ['label' => 'sidebar.tt.section', 'icon' => 'mdi:clock', 'items' => [
                ['label' => 'sidebar.tt.timesheet', 'to' => '/time-tracking', 'icon' => 'mdi:clock', 'module' => 'time_tracking'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertSame([], $result['sections']);
        self::assertSame(['/time-tracking'], $result['disabledRoutes']);
    }
    public function testItemWithActiveModuleIsVisible(): void
    {
        $sections = [
            ['label' => 'sidebar.tt.section', 'icon' => 'mdi:clock', 'items' => [
                ['label' => 'sidebar.tt.timesheet', 'to' => '/time-tracking', 'icon' => 'mdi:clock', 'module' => 'time_tracking'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, ['time_tracking'], ['ROLE_USER']);
        self::assertCount(1, $result['sections']);
        self::assertSame('/time-tracking', $result['sections'][0]['items'][0]['to']);
        self::assertSame([], $result['disabledRoutes']);
    }
    public function testSectionWithRolesIsHiddenWhenRoleMissing(): void
    {
        $sections = [
            ['label' => 'sidebar.admin.section', 'icon' => 'mdi:cog', 'roles' => ['ROLE_ADMIN'], 'items' => [
                ['label' => 'sidebar.admin.admin', 'to' => '/admin', 'icon' => 'mdi:cog'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertSame([], $result['sections']);
        // Filtrage par rôle => PAS de disabledRoutes (réservé au filtrage par module).
        self::assertSame([], $result['disabledRoutes']);
    }
    public function testSectionWithRolesIsVisibleWhenRolePresent(): void
    {
        $sections = [
            ['label' => 'sidebar.admin.section', 'icon' => 'mdi:cog', 'roles' => ['ROLE_ADMIN'], 'items' => [
                ['label' => 'sidebar.admin.admin', 'to' => '/admin', 'icon' => 'mdi:cog'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER', 'ROLE_ADMIN']);
        self::assertCount(1, $result['sections']);
        self::assertSame('/admin', $result['sections'][0]['items'][0]['to']);
        self::assertArrayNotHasKey('roles', $result['sections'][0]);
    }
    public function testItemWithRolesIsHiddenWhenRoleMissing(): void
    {
        $sections = [
            ['label' => 'sidebar.hr.section', 'icon' => 'mdi:calendar', 'items' => [
                ['label' => 'sidebar.hr.teamAbsences', 'to' => '/team-absences', 'icon' => 'mdi:account-group', 'roles' => ['ROLE_ADMIN']],
                ['label' => 'sidebar.hr.x', 'to' => '/x', 'icon' => 'mdi:x'],
            ]],
        ];
        $result = SidebarFilter::filter($sections, [], ['ROLE_USER']);
        self::assertCount(1, $result['sections']);
        self::assertCount(1, $result['sections'][0]['items']);
        self::assertSame('/x', $result['sections'][0]['items'][0]['to']);
        self::assertArrayNotHasKey('roles', $result['sections'][0]['items'][0]);
    }
 }
Author	SHA1	Message	Date
Matthieu	d1a980d1c2	docs : log LST-62 socle front session learnings	2026-06-19 15:37:03 +02:00
Matthieu	fdcf8df518	feat(front) : add sidebar i18n labels	2026-06-19 15:33:59 +02:00
Matthieu	977e74f669	feat(front) : render dynamic sidebar from /api/sidebar in default layout	2026-06-19 15:32:23 +02:00
Matthieu	a620833550	feat(front) : load sidebar/modules after login and redirect disabled routes	2026-06-19 15:28:16 +02:00
Matthieu	fcfb16fc5b	docs : correct LST-62 front verification gate (typecheck is not green on this stack)	2026-06-19 15:25:39 +02:00
Matthieu	b00e92bdd3	feat(front) : modular nuxt config with app/ shell dirs and modules/* layer auto-detection	2026-06-19 15:24:57 +02:00
Matthieu	1aa43a5356	refactor(front) : move useApi and shared stores (auth, ui) to shared/	2026-06-19 15:06:50 +02:00
Matthieu	51de96c797	feat(front) : add shared useModules/useSidebar composables and sidebar types	2026-06-19 15:05:35 +02:00
Matthieu	0ee82c8b62	feat(sidebar) : add role gate to sidebar provider and global nav config	2026-06-19 15:03:45 +02:00
Matthieu	111f37a0c9	docs : add implementation plan for socle front (LST-62 / 0.2)	2026-06-19 15:00:23 +02:00
Matthieu	5fbdda1983	docs : log LST-56 socle back session learnings	2026-06-19 15:00:17 +02:00
Matthieu	b301c543bb	feat(shared) : add column comments catalog helper for migrations	2026-06-19 14:38:40 +02:00
Matthieu	3053c09522	feat(shared) : add timestampable/blamable trait and doctrine subscriber	2026-06-19 14:37:28 +02:00
Matthieu	52399b35d9	feat(sidebar) : expose GET /api/sidebar filtered by active modules	2026-06-19 14:35:17 +02:00
Matthieu	748289b61a	feat(modules) : expose GET /api/modules and module registry	2026-06-19 14:33:53 +02:00
Matthieu	2d0e9de155	docs : add implementation plan for socle back (LST-56 / 0.1) Plan TDD en 4 tâches : endpoints /api/modules et /api/sidebar, garde-fou Timestampable/Blamable, helper ColumnCommentsCatalog.	2026-06-19 10:56:27 +02:00
Matthieu	a510b2ca73	docs : add modular monolith migration roadmap and socle design Plan de migration complet Lesstime vers modular monolith DDD (archi Starseed) : roadmap en 14 tickets ordonnés par dépendances + design technique détaillé du socle (Shared/, contrats, endpoints modules/sidebar, plan strangler).	2026-06-19 10:50:14 +02:00
gitea-actions	d0a49322e1	chore: bump version to v0.4.30 Auto Tag Develop / tag (push) Successful in 6s Details Build & Push Docker Image / build (push) Successful in 2m21s Details	2026-06-19 07:21:59 +00:00
matthieu	3e26c12052	Merge pull request 'fix(prod) : droits www-data sur le volume de logs' (#11 ) from fix/prod-logs-volume-permissions into develop Auto Tag Develop / tag (push) Successful in 7s Details Reviewed-on: #11	2026-06-19 07:21:52 +00:00
Matthieu	6c32110288	fix(prod) : créer var/log dans l'image pour que le volume de logs hérite des droits www-data Le volume nommé lesstime_logs est monté sur /var/www/html/var/log, mais ce dossier n'existe pas dans l'image. Au premier montage d'un volume vide, Docker crée le point de montage en root:root, ce qui empêche www-data d'écrire les logs et fait crasher l'application. En créant var/log avant le chown -R, tout volume de logs neuf hérite des droits www-data automatiquement.	2026-06-19 09:07:14 +02:00
gitea-actions	da8beb2b2d	chore: bump version to v0.4.29 Auto Tag Develop / tag (push) Successful in 6s Details Build & Push Docker Image / build (push) Successful in 28s Details	2026-06-15 09:52:11 +00:00
matthieu	16748cce40	Merge pull request 'feat(notification) : recâbler les notifications sur les événements de tâche' (#10 ) from feat/task-notifications into develop Auto Tag Develop / tag (push) Successful in 9s Details Reviewed-on: #10	2026-06-15 09:52:01 +00:00
`@@ -1,2 +1,2 @@`
	`parameters:`	`parameters:`
	`app.version: '0.4.28'`	`app.version: '0.4.30'`