matthieu
8313c759c6
Auto Tag Develop / tag (push) Successful in 9s
## Migration modular monolith DDD — Lesstime (0.1 → 3.3) Cette MR regroupe l'intégralité de la refonte en monolithe modulaire (strangler progressif, additif). Elle remplace les MR stackées de Phase 1 (#12–#16), désormais incluses ici. **Ne pas merger avant validation fonctionnelle** : branche destinée à être testée telle quelle. ### Périmètre — 9 modules sous `src/Module/` | Phase | Module | Contenu | |------|--------|---------| | 0.1 | (socle) | infrastructure modulaire, `ModuleInterface`, mapping Doctrine par module | | 0.2 | (socle front) | auto-détection des layers Nuxt sous `frontend/modules/*` | | 1.1 | **Core** | Identité (User/Auth), Notifications, Notifier | | 1.2 | Core | RBAC fin (permissions `module.resource.action`, sidebar gated) | | 1.3 | Core | Audit log (`#[Auditable]`, listener, provider DBAL) | | 2.1 | **TimeTracking** | TimeEntry + MCP + export | | 2.2 | **ProjectManagement** | cœur métier Projets/Tâches + 38 MCP tools | | 2.3 | **Absence** | demandes, soldes, policies, justificatifs | | 2.4 | **Directory** | Clients (migrés) + **Prospects** (nouveau, conversion → Client) | | 2.5 | **Mail** | intégration IMAP OVH + liens tâches | | 2.6 | **Integration** | Gitea / BookStack / Zimbra / Share | | 3.1 | **Reporting** | rapports transverses (DBAL read-only, 0 import inter-module) | | 3.2 | **ClientPortal** | portail client (ROLE_CLIENT cloisonné, tickets, notifications) | | 3.3 | (finition) | nettoyage legacy — `src/Entity` vide, app 100% modulaire | ### Architecture - Découplage inter-modules par **contrats** (`UserInterface`, `ProjectInterface`, `TaskInterface`, `TaskTagInterface`, `ClientInterface`, `ClientTicketInterface`, `LeaveProfileInterface`) + `resolve_target_entities` 100% modulaire (aucune cible legacy). - Repositories : interface `Domain/Repository` + implémentation `Infrastructure/Doctrine`, bindées. - Reporting en DBAL read-only pur (aucun import d'entité d'un autre module). - Chaque migration de module : déplacement à comportement préservé (API publique et noms d'outils MCP inchangés), migrations **additives** uniquement (zéro destructif). ### Sécurité - ROLE_CLIENT cloisonné : un utilisateur client n'accède qu'à `/portal` et à ses propres tickets (filtrés par `allowedProjects`), interdit sur toute l'API interne. - Correctif : interdiction pour un client de créer un lien vers le partage SMB (upload uniquement). ### QA non-régression (branche reconstruite from scratch) - Migrations from scratch + fixtures : OK. - Compilation dev + prod : OK. - **180 tests PHPUnit verts**, php-cs-fixer clean, ~96 routes, **66 outils MCP** tous sous `App\Module\*`. - Smoke test runtime multi-rôles (admin / ROLE_USER / ROLE_CLIENT) : 44 vérifications HTTP, **0 écart**, cloisonnement client étanche. - Build Nuxt OK, 9 layers, 0 import legacy résiduel. ### Points à arbitrer (hors périmètre de cette migration) - Durcissement MCP/IDOR pré-existant (`userId` explicite sans scoping sur certains tools TimeTracking/Absence/TaskDocument) — ticket dédié recommandé. - Validation fonctionnelle de **Prospect** et **ClientPortal** (conçus depuis les specs disque). - **Harmonisation visuelle Malio finale** (3.3) — finition esthétique inter-modules laissée au PO. --- ## ⚠️ Déploiement / migration des données — à ne pas oublier ### 1. Resynchroniser les séquences PostgreSQL après tout import/restore de dump Si la prod (ou tout environnement) est **montée depuis un dump** (`pg_restore` / `COPY`), les lignes sont chargées avec leurs `id` explicites **sans avancer les séquences** → au premier `INSERT` : `duplicate key value violates unique constraint "..._pkey"` (constaté en local sur `notification`, `task`, `time_entry`…). À lancer **juste après chaque restore/import** : ```sql DO $$ DECLARE r RECORD; maxid BIGINT; seq TEXT; BEGIN FOR r IN SELECT table_name, column_name FROM information_schema.columns WHERE table_schema='public' LOOP seq := pg_get_serial_sequence(quote_ident(r.table_name), r.column_name); IF seq IS NOT NULL THEN EXECUTE format('SELECT COALESCE(MAX(%I),0) FROM %I', r.column_name, r.table_name) INTO maxid; PERFORM setval(seq, GREATEST(maxid,1), maxid > 0); END IF; END LOOP; END $$; ``` > Ne concerne **pas** une prod qui tourne déjà (séquences avancées organiquement) — uniquement le cas restore/import. Idempotent, sans risque. ### 2. Fix dénormalisation des collections typées-contrat (code, inclus dans la branche) Les relations **to-many** typées par une interface `Shared\Domain\Contract\*` (`TimeEntry::tags` → `TaskTagInterface`, `Task::collaborators` → `UserInterface`) étaient **indénormalisables par API Platform** (mono-valué OK via IRI, collection KO) → **tout POST/PATCH portant une telle collection renvoyait 400/500**. Corrigé par un dénormaliseur générique `ContractRelationDenormalizer` (réutilise `resolve_target_entities`, zéro couplage par-entité) + test fonctionnel de non-régression. --------- Co-authored-by: Matthieu <contact@malio.fr> Reviewed-on: #17
116 lines
4.2 KiB
YAML
116 lines
4.2 KiB
YAML
name: Pull Request — Quality gate
|
|
|
|
# Lance les tests back + le build front sur chaque PR ciblant develop.
|
|
# Deux jobs en parallele (backend / frontend) pour reduire le temps de feedback.
|
|
# Pas d'E2E ici : la quality gate se limite a "le back passe les tests, le front compile".
|
|
|
|
on:
|
|
pull_request:
|
|
branches:
|
|
- develop
|
|
|
|
# Annule les runs obsoletes quand on repush sur la meme PR.
|
|
concurrency:
|
|
group: pr-${{ gitea.event.pull_request.number }}
|
|
cancel-in-progress: true
|
|
|
|
jobs:
|
|
backend:
|
|
name: Backend (PHP CS + PHPUnit)
|
|
runs-on: ubuntu-latest
|
|
|
|
services:
|
|
postgres:
|
|
image: postgres:16-alpine
|
|
env:
|
|
# Doivent matcher la DATABASE_URL ci-dessous. Doctrine ajoute le
|
|
# suffixe `_test` automatiquement en APP_ENV=test (when@test
|
|
# dbname_suffix) → la base reellement utilisee est `app_test`.
|
|
POSTGRES_USER: app
|
|
POSTGRES_PASSWORD: '!ChangeMe!'
|
|
POSTGRES_DB: app
|
|
# Pas de `ports:` host mapping : les jobs Gitea Actions tournent en
|
|
# container sur un reseau Docker dedie, le service est joignable via
|
|
# son nom (`postgres`), pas via 127.0.0.1.
|
|
options: >-
|
|
--health-cmd "pg_isready -U app"
|
|
--health-interval 5s
|
|
--health-timeout 5s
|
|
--health-retries 10
|
|
|
|
env:
|
|
APP_ENV: test
|
|
APP_SECRET: ci-secret-not-used
|
|
APP_DEBUG: 0
|
|
DEFAULT_URI: http://localhost/
|
|
DATABASE_URL: postgresql://app:!ChangeMe!@postgres:5432/app?serverVersion=16&charset=utf8
|
|
JWT_SECRET_KEY: '%kernel.project_dir%/config/jwt/private.pem'
|
|
JWT_PUBLIC_KEY: '%kernel.project_dir%/config/jwt/public.pem'
|
|
JWT_PASSPHRASE: ci-passphrase
|
|
# Cle de chiffrement (sodium) des secrets Mail / Integration / CalDav que
|
|
# les fixtures persistent (ZimbraConfiguration, tokens...). Valeur de test
|
|
# alignee sur phpunit.dist.xml.
|
|
ENCRYPTION_KEY: ccd250183ea853179562d458e645585f3d46ddebb0701743236196f60fc1a0b8
|
|
|
|
steps:
|
|
- name: Checkout
|
|
uses: actions/checkout@v4
|
|
|
|
- name: Setup PHP 8.4
|
|
uses: shivammathur/setup-php@v2
|
|
with:
|
|
php-version: '8.4'
|
|
# zip + gd requis par phpoffice/phpspreadsheet (export XLSX), sodium par
|
|
# le chiffrement des secrets, ctype/iconv par le require de composer.json.
|
|
extensions: pdo, pdo_pgsql, intl, opcache, zip, mbstring, sodium, gd, ctype, iconv
|
|
coverage: none
|
|
tools: composer:v2
|
|
|
|
- name: Install PHP dependencies
|
|
run: composer install --no-interaction --no-progress --prefer-dist
|
|
|
|
- name: Generate JWT keypair
|
|
run: php bin/console lexik:jwt:generate-keypair --skip-if-exists --no-interaction
|
|
|
|
- name: PHP CS Fixer (dry-run)
|
|
run: vendor/bin/php-cs-fixer fix --config=.php-cs-fixer.dist.php --allow-risky=yes --dry-run --diff
|
|
|
|
- name: Bootstrap test database
|
|
# Miroir de la cible `db-reset` du makefile (create + migrate + fixtures),
|
|
# en --env=test. Les fixtures sement les roles systeme (RbacSeeder) ;
|
|
# sync-permissions complete le catalogue de permissions comme en install reelle.
|
|
run: |
|
|
php bin/console doctrine:database:create --env=test --if-not-exists --no-interaction
|
|
php bin/console doctrine:migrations:migrate --env=test --no-interaction
|
|
php bin/console doctrine:fixtures:load --env=test --no-interaction
|
|
php bin/console app:sync-permissions --env=test --no-interaction
|
|
|
|
- name: Run PHPUnit
|
|
run: php -d memory_limit=512M vendor/bin/phpunit
|
|
|
|
frontend:
|
|
name: Frontend (build)
|
|
runs-on: ubuntu-latest
|
|
defaults:
|
|
run:
|
|
working-directory: frontend
|
|
|
|
steps:
|
|
- name: Checkout
|
|
uses: actions/checkout@v4
|
|
|
|
- name: Setup Node 24
|
|
uses: actions/setup-node@v4
|
|
with:
|
|
node-version: '24'
|
|
|
|
# `npm ci` declenche le postinstall `nuxt prepare` (genere .nuxt/).
|
|
- name: Install Node dependencies
|
|
run: npm ci
|
|
|
|
# `nuxt build` (et non `build:dist`/`nuxt generate`) : l'app est en SSR off
|
|
# (SPA), le prerender n'apporte rien a une quality gate — on valide seulement
|
|
# que le bundle compile.
|
|
- name: Build production (nuxt build)
|
|
run: npm run build
|