fix(rbac) : appliquer les permissions granulaires sur les ressources métier #19

Merged

matthieu merged 3 commits from feat/rbac-enforcement into develop 2026-06-23 15:15:08 +00:00

Conversation 0 Commits 3 Files Changed 25

+190 -208

matthieu commented 2026-06-23 15:06:47 +00:00

Owner

Copy Link

Copy Source

Contexte

Un utilisateur sans permission RBAC voyait quand même projets, tâches, clients, temps, etc. Le RBAC granulaire n’était pas réellement appliqué sur les ressources métier.

Corrections RBAC

• PermissionVoter : le regex excluait les tirets → project-management.* et time-tracking.* n’étaient évaluées par aucun voter (refus pour tous, admin compris). Ajout du tiret.
• Câblage des permissions *.view (lecture) / *.manage (écriture) sur les 17 ressources métier (ProjectManagement, Directory, TimeTracking). Métadonnées tâches lisibles via projects.view OR tasks.view ; Directory partagé client/prospect via clients.* OR prospects.* ; TimeEntry conserve le self-service.
• Sidebar : onglets Projets / Mes tâches / Suivi du temps masqués selon la permission effective.
• Test : ProjectAccessControlTest (0 perm → 403, view → 200, view ne donne pas l’écriture → 403).

Refacto Directory

• Formulaires ajout/édition client & prospect réduits au seul champ « Nom société » (coordonnées et champs prospect retirés, à gérer via Contact).

⚠️ Déploiement

Le rôle système user est volontairement vide : après déploiement, les non-admins ne verront plus rien tant que des permissions ne leur sont pas attribuées. Penser à app:seed-rbac + app:sync-permissions.

Vérification

176 tests verts (pre-commit), php-cs-fixer OK. Reproduit et validé en local avec un user de test sans permission.

## Contexte Un utilisateur sans permission RBAC voyait quand même projets, tâches, clients, temps, etc. Le RBAC granulaire n’était pas réellement appliqué sur les ressources métier. ## Corrections RBAC - **PermissionVoter** : le regex excluait les tirets → `project-management.*` et `time-tracking.*` n’étaient évaluées par aucun voter (refus pour tous, admin compris). Ajout du tiret. - **Câblage** des permissions `*.view` (lecture) / `*.manage` (écriture) sur les 17 ressources métier (ProjectManagement, Directory, TimeTracking). Métadonnées tâches lisibles via `projects.view OR tasks.view` ; Directory partagé client/prospect via `clients.* OR prospects.*` ; TimeEntry conserve le self-service. - **Sidebar** : onglets Projets / Mes tâches / Suivi du temps masqués selon la permission effective. - **Test** : `ProjectAccessControlTest` (0 perm → 403, view → 200, view ne donne pas l’écriture → 403). ## Refacto Directory - Formulaires ajout/édition client & prospect réduits au seul champ « Nom société » (coordonnées et champs prospect retirés, à gérer via Contact). ## ⚠️ Déploiement Le rôle système `user` est volontairement vide : après déploiement, les non-admins ne verront plus rien tant que des permissions ne leur sont pas attribuées. Penser à `app:seed-rbac` + `app:sync-permissions`. ## Vérification 176 tests verts (pre-commit), php-cs-fixer OK. Reproduit et validé en local avec un user de test sans permission.

matthieu added 2 commits 2026-06-23 15:06:47 +00:00

fix(rbac) : enforce granular permissions on business resources ... 9705b335ef

Les ressources métier (ProjectManagement, Directory, TimeTracking) étaient
gardées par is_granted('ROLE_USER')/'ROLE_ADMIN', ignorant les permissions
RBAC granulaires déclarées par les modules : un utilisateur sans permission
voyait quand même projets, tâches, clients, etc.

- PermissionVoter : le regex excluait les tirets, donc project-management.* et
  time-tracking.* n'étaient supportées par aucun voter (refus pour tous, admin
  compris car le bypass ROLE_ADMIN est interne au voter). Ajout du tiret.
- Câblage des permissions *.view (lecture) / *.manage (écriture) sur les 17
  ressources métier. Métadonnées tâches lisibles via projects.view OR tasks.view.
  Directory partagé client/prospect via clients.* OR prospects.*. TimeEntry
  conserve le self-service (object.getUser() == user).
- Sidebar : gating par permission effective des onglets Projets / Mes tâches /
  Suivi du temps (config/sidebar.php).
- Test fonctionnel ProjectAccessControlTest (0 perm -> 403, view -> 200,
  view ne donne pas l'écriture -> 403).

refactor(directory) : reduce client/prospect forms to company name ... 5e3607658a

Les formulaires d'ajout/édition client et prospect ne conservent que le champ
« Nom société ». Les coordonnées (email, téléphone) et les champs prospect
(société, statut, source, notes) sont retirés : ils seront gérés via Contact.
Le statut prospect prend son défaut New à la création ; DTO assouplis, payload
réduit à { name }.

matthieu added 1 commit 2026-06-23 15:11:30 +00:00

fix(rbac) : add dedicated time-tracking.entries.manage permission ... 4a7fd46493

La revue de sécurité a relevé que les écritures de TimeEntry (Post/Patch/Delete)
étaient gardées par time-tracking.entries.view : une permission de lecture
accordait l'écriture (confusion lecture/écriture, least-privilege).

- Ajout de la permission time-tracking.entries.manage (catalogue cohérent avec
  les autres modules en view/manage).
- Écritures TimeEntry recâblées sur entries.manage ; self-service conservé
  (object.getUser() == user). Lecture inchangée (entries.view).

matthieu merged commit 46e23874bd into develop 2026-06-23 15:15:08 +00:00

Sign in to join this conversation.

Reviewers

No Reviewers

Labels

No items

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

malio (admin malio) matthieu (THOLOT DECHENE Matthieu) tristan (Autin )

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: MALIO-DEV/Lesstime#19