chore: bump version to v0.4.51

Merge pull request 'fix(rbac) : gate les listes Gitea/BookStack par projects.manage' (#33 ) from fix/rbac-integration-gating into develop
fix(rbac) : gate les listes Gitea/BookStack par projects.manage (et non ROLE_USER)
2026-06-29 09:36:04 +00:00 · 2026-06-29 09:35:51 +00:00 · 2026-06-29 11:34:56 +02:00 · 2026-06-29 11:34:56 +02:00 · 2026-06-29 09:01:08 +00:00 · 2026-06-29 09:01:02 +00:00
3 changed files with 7 additions and 3 deletions
@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.4.49'
+    app.version: '0.4.51'
@@ -15,7 +15,9 @@ use Symfony\Component\Serializer\Attribute\Groups;
            uriTemplate: '/bookstack/shelves',
            normalizationContext: ['groups' => ['bookstack_shelf:read']],
            provider: BookStackShelfProvider::class,
-            security: "is_granted('ROLE_ADMIN')",
+            // Liste toutes les étagères visibles par le token BookStack global :
+            // réservé à qui configure un projet (ProjectDrawer), pas à tout user.
+            security: "is_granted('project-management.projects.manage')",
        ),
    ],
 )]
@@ -15,7 +15,9 @@ use Symfony\Component\Serializer\Attribute\Groups;
            uriTemplate: '/gitea/repositories',
            normalizationContext: ['groups' => ['gitea_repo:read']],
            provider: GiteaRepositoryProvider::class,
-            security: "is_granted('ROLE_ADMIN')",
+            // Liste l'intégralité des dépôts visibles par le token Gitea global :
+            // réservé à qui configure un projet (ProjectDrawer), pas à tout user.
+            security: "is_granted('project-management.projects.manage')",
        ),
    ],
 )]
Author	SHA1	Message	Date
gitea-actions	79bd47266a	chore: bump version to v0.4.51 Auto Tag Develop / tag (push) Successful in 7s Details Build & Push Docker Image / build (push) Successful in 25s Details	2026-06-29 09:36:04 +00:00
matthieu	8aa54c187b	Merge pull request 'fix(rbac) : gate les listes Gitea/BookStack par projects.manage' (#33 ) from fix/rbac-integration-gating into develop Auto Tag Develop / tag (push) Successful in 9s Details	2026-06-29 09:35:51 +00:00
Matthieu	b61574bad2	fix(rbac) : gate les listes Gitea/BookStack par projects.manage (et non ROLE_USER) Pull Request — Quality gate / Backend (PHP CS + PHPUnit) (pull_request) Failing after 52s Details Pull Request — Quality gate / Frontend (build) (pull_request) Successful in 1m34s Details Suite à la revue de sécurité : ROLE_ADMIN était trop strict (les ressources sœurs sont en ROLE_USER) mais ROLE_USER brut est trop permissif — ces endpoints listent TOUS les dépôts/étagères visibles par le token d'intégration global, sans filtrage par utilisateur. Comme ils ne sont consommés que par le ProjectDrawer (configuration du dépôt/étagère d'un projet), on les gate sur la permission métier project-management.projects.manage. Les admins conservent l'accès via le bypass ROLE_ADMIN du PermissionVoter.	2026-06-29 11:34:56 +02:00
Matthieu	b8fa1d168d	fix(rbac) : ouvre la liste des repos Gitea et des étagères BookStack aux ROLE_USER GiteaRepository (/gitea/repositories) et BookStackShelf (/bookstack/shelves) étaient gardés par ROLE_ADMIN alors que toutes leurs ressources sœurs (branches, pull requests, recherche, liens) sont en ROLE_USER. Un utilisateur non-admin pouvait donc consommer les sous-ressources mais récupérait un 403 en listant les dépôts / étagères racines. Aligné sur ROLE_USER (les Settings et TestConnection restent ROLE_ADMIN : configuration réservée à l'admin).	2026-06-29 11:34:56 +02:00
gitea-actions	a2334789ae	chore: bump version to v0.4.50 Auto Tag Develop / tag (push) Successful in 6s Details Build & Push Docker Image / build (push) Successful in 42s Details	2026-06-29 09:01:08 +00:00
matthieu	fc18200d63	Merge pull request 'fix(rbac) : rattache le rôle de base « user » et gate le frontend par permission' (#32 ) from fix/rbac-default-user-role into develop Auto Tag Develop / tag (push) Successful in 7s Details Reviewed-on: #32	2026-06-29 09:01:02 +00:00