MALIO-DEV/Starseed
3
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

[ERP-74] Seed RBAC idempotent (rôles + matrice § 2.7 + demo users) + RG-1.04 + test matrice (#40)
Auto Tag Develop / tag (push) Successful in 11s
Details

Browse Source 
## Objectif
Seeder le RBAC métier de façon **rejouable et disponible en recette/prod** (commande applicative, pas fixture `require-dev`), durcir RG-1.04, et écrire le test de matrice (rôles enfin existants).

## A. `RbacSeeder` (Core) — source unique anti-drift
4 rôles (`bureau`/`compta`/`commerciale`/`usine`, isSystem=false), matrice § 2.7 (rôle → permissions) et comptes démo, définis en **un seul endroit**. Méthodes idempotentes `ensureRoles` / `attachMatrix` / `ensureDemoUsers`. `commerciale` référence `BusinessRoles::COMMERCIALE` (déjà consommé par RG-1.04).

## B. Commande `app:seed-rbac` (présente en build prod, idempotente, non destructive)
- Sans option : rôles + matrice § 2.7.
- `--with-demo-users` + `--password=<…>` ou env `RBAC_DEMO_PASSWORD` : 1 compte démo/rôle. **Aucun mot de passe en dur** côté serveur.
- Garde-fou : exit non-zéro + invite à lancer `app:sync-permissions` si les codes `commercial.clients.*` manquent.

## C. Fixture dev/test `RbacDemoFixtures` (DRY)
Appelle le **même seeder** (`ensureRoles` + `ensureDemoUsers`). La matrice est attachée juste après par l'étape `app:seed-rbac` du makefile (la table `permission` est purgée au moment du `fixtures:load`, donc `attachMatrix` ne peut pas tourner pendant le load). `make db-reset` / `test-db-setup` reproduisent l'état de recette.

## Déploiement (documenté README)
Après `migration-migrate` + `app:sync-permissions` : `app:seed-rbac` (prod) ; `app:seed-rbac --with-demo-users --password=…` (recette).

## D. Durcissement RG-1.04
Pour une Commerciale, complétude de l'onglet Information exigée sur **POST + tout PATCH** (suppression de la condition d'intersection). Conséquence : POST Commerciale → 422 (le POST n'expose pas le groupe Information), Admin → 201. Spec § 7 amendée.

## Compta ↔ onglet Comptabilité (§ 2.7)
Pour que `compta PATCH accounting → 200` (exigé par la matrice), la security du `Patch /clients/{id}` est élargie à `manage` **OU** `accounting.manage`, et un nouveau **`guardManage`** (mode strict RG-1.28) interdit à un porteur non-`manage` de modifier les onglets principal/Information (→ 403). Approche validée : élargir la security + guard in-processor (pas de nouvel endpoint).

## E. `ClientRBACMatrixTest`
Matrice § 2.7 complète via les comptes démo seedés (`app:seed-rbac --with-demo-users`) : bureau / compta / commerciale / usine (200/403 par verbe et par onglet) + RG-1.04 (POST Commerciale 422 / Admin 201).

## Tests
`make php-cs-fixer-allow-risky` OK ; `make test` **429 tests verts**. Idempotence vérifiée (rejeu de la commande : 0 rôle / 0 lien / 0 user). `test-db-setup` exécute la nouvelle étape `app:seed-rbac` sans erreur.

Cible : `develop`. Squash merge.
---------

Co-authored-by: Matthieu <contact@malio.fr>
Reviewed-on: #40
Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
This commit was merged in pull request #40.
This commit is contained in:
THOLOT DECHENE Matthieu
2026-06-01 21:06:33 +00:00
committed by admin malio
parent 8d50f1fbe7
commit 0e3299300f
13 changed files with 1120 additions and 40 deletions
Download Patch File Download Diff File Expand all files Collapse all files
src/Module/Core/Application/Rbac/RbacSeeder.php
+218
View File
@@ -0,0 +1,218 @@
<?php
declare(strict_types=1);
namespace App\Module\Core\Application\Rbac;
use App\Module\Core\Domain\Entity\Role;
use App\Module\Core\Domain\Entity\User;
use App\Module\Core\Domain\Exception\RbacSeedException;
use App\Module\Core\Domain\Repository\PermissionRepositoryInterface;
use App\Module\Core\Domain\Repository\RoleRepositoryInterface;
use App\Module\Core\Domain\Repository\UserRepositoryInterface;
use App\Shared\Domain\Contract\SiteProviderInterface;
use App\Shared\Domain\Security\BusinessRoles;
use Symfony\Component\PasswordHasher\Hasher\UserPasswordHasherInterface;
/**
* Source UNIQUE (anti-drift) du RBAC metier MALIO : les 4 roles
* (bureau / compta / commerciale / usine), la matrice § 2.7 (role -> permissions)
* et les comptes demo par role. Aucun de ces litteraux ne doit etre duplique
* ailleurs (ni SQL en dur, ni autre fixture).
*
* Consomme par :
* - la commande applicative `app:seed-rbac` (presente dans le build prod, donc
* rejouable en recette/prod, contrairement aux fixtures `require-dev`) ;
* - la fixture Core dev/test (DRY : meme seeder).
*
* Toutes les operations sont idempotentes et non destructives :
* - ensureRoles() : cree un role par lookup de code (skip si present) ;
* - attachMatrix() : attache les permissions § 2.7 via la M2M role_permission,
* sans re-attacher un lien existant ; STOP explicite si un code manque ;
* - ensureDemoUsers() : cree un user par role (lookup par username, skip si
* present), rattache au role + a >= 1 site.
*/
final class RbacSeeder
{
/**
* Codes des roles metier (snake_case, regex Role respectee). `commerciale`
* reference la constante Shared deja consommee par le ClientProcessor
* (RG-1.04) pour eviter tout drift : un seul litteral pour ce code.
*/
public const string ROLE_BUREAU = 'bureau';
public const string ROLE_COMPTA = 'compta';
public const string ROLE_COMMERCIALE = BusinessRoles::COMMERCIALE;
public const string ROLE_USINE = 'usine';
/** Site de rattachement par defaut des comptes demo (cf. SitesFixtures). */
private const string DEFAULT_SITE_NAME = 'Chatellerault';
/**
* Definition unique des 4 roles + matrice § 2.7. La cle est le code du role,
* `label` le libelle FR affichable, `permissions` la liste des codes RBAC a
* attacher (vide pour usine : aucun acces ; admin n'apparait pas car il
* bypass tout via isAdmin ; `commercial.clients.archive` n'est attache a
* aucun role metier — admin seul).
*
* @var array<string, array{label: string, permissions: list<string>}>
*/
private const array MATRIX = [
self::ROLE_BUREAU => [
'label' => 'Bureau',
'permissions' => [
'commercial.clients.view',
'commercial.clients.manage',
],
],
self::ROLE_COMPTA => [
'label' => 'Comptabilité',
'permissions' => [
'commercial.clients.view',
'commercial.clients.accounting.view',
'commercial.clients.accounting.manage',
],
],
self::ROLE_COMMERCIALE => [
'label' => 'Commerciale',
'permissions' => [
'commercial.clients.view',
'commercial.clients.manage',
],
],
self::ROLE_USINE => [
'label' => 'Usine',
'permissions' => [],
],
];
public function __construct(
private readonly RoleRepositoryInterface $roleRepository,
private readonly PermissionRepositoryInterface $permissionRepository,
private readonly UserRepositoryInterface $userRepository,
private readonly SiteProviderInterface $siteProvider,
private readonly UserPasswordHasherInterface $passwordHasher,
) {}
/**
* Cree chaque role metier absent (lookup par code). Idempotent.
*
* @return list<string> codes des roles effectivement crees (vide au rejeu)
*/
public function ensureRoles(): array
{
$created = [];
foreach (self::MATRIX as $code => $definition) {
if (null !== $this->roleRepository->findByCode($code)) {
continue;
}
// isSystem=false : ce sont des roles metier, supprimables par un
// admin (contrairement aux roles systeme admin/user).
$this->roleRepository->save(new Role($code, $definition['label'], isSystem: false));
$created[] = $code;
}
return $created;
}
/**
* Attache la matrice § 2.7 a chaque role via la M2M role_permission. Lookup
* de la permission par code ; un code absent leve une RbacSeedException
* (garde-fou : `app:sync-permissions` doit avoir tourne). Idempotent : un
* lien deja present n'est pas recree.
*
* @return int nombre de liens role->permission effectivement ajoutes (0 au rejeu)
*
* @throws RbacSeedException si un role ou une permission de la matrice manque
*/
public function attachMatrix(): int
{
$added = 0;
foreach (self::MATRIX as $code => $definition) {
$role = $this->roleRepository->findByCode($code);
if (null === $role) {
throw RbacSeedException::missingRole($code);
}
$touched = false;
foreach ($definition['permissions'] as $permissionCode) {
$permission = $this->permissionRepository->findByCode($permissionCode);
if (null === $permission) {
throw RbacSeedException::missingPermission($permissionCode);
}
if (!$role->getPermissions()->contains($permission)) {
$role->addPermission($permission);
$touched = true;
++$added;
}
}
// Un seul flush par role, et seulement si un lien a change.
if ($touched) {
$this->roleRepository->save($role);
}
}
return $added;
}
/**
* Cree un compte demo par role metier (username = code du role), non-admin,
* mot de passe hashe, rattache a son role et a >= 1 site. Lookup par
* username : idempotent (un compte existant est laisse intact, mot de passe
* inchange).
*
* @return list<string> usernames effectivement crees (vide au rejeu)
*
* @throws RbacSeedException si un role metier attendu est absent (ensureRoles non joue)
*/
public function ensureDemoUsers(string $password): array
{
// Rattachement a un site par defaut s'il existe (les flux login / me en
// ont besoin ; le repertoire clients n'est pas site-scope mais on reste
// coherent avec les fixtures admin/alice/bob).
$defaultSite = $this->siteProvider->findByName(self::DEFAULT_SITE_NAME);
$created = [];
foreach (array_keys(self::MATRIX) as $code) {
$username = $code;
if (null !== $this->userRepository->findByUsername($username)) {
continue;
}
$role = $this->roleRepository->findByCode($code);
if (null === $role) {
throw RbacSeedException::missingRole($code);
}
$user = new User();
$user->setUsername($username);
$user->setIsAdmin(false);
$user->setPassword($this->passwordHasher->hashPassword($user, $password));
$user->addRbacRole($role);
if (null !== $defaultSite) {
$user->addSite($defaultSite);
$user->setCurrentSite($defaultSite);
}
$this->userRepository->save($user);
$created[] = $username;
}
return $created;
}
/**
* Liste des codes des roles metier definis (pour reporting / tests).
*
* @return list<string>
*/
public static function roleCodes(): array
{
return array_keys(self::MATRIX);
}
}
src/Module/Core/Domain/Exception/RbacSeedException.php
+38
View File
@@ -0,0 +1,38 @@
<?php
declare(strict_types=1);
namespace App\Module\Core\Domain\Exception;
use RuntimeException;
/**
* Erreur de seed RBAC (service RbacSeeder / commande app:seed-rbac).
*
* Deux causes possibles, toutes deux fatales et explicites :
* - role metier attendu introuvable (ensureRoles() n'a pas tourne avant
* attachMatrix() ou ensureDemoUsers()) ;
* - code de permission de la matrice § 2.7 absent du catalogue : signe que
* `app:sync-permissions` n'a pas ete joue. Le message embarque alors
* l'invite a lancer la synchronisation, exploitee telle quelle par la
* commande.
*/
final class RbacSeedException extends RuntimeException
{
public static function missingRole(string $roleCode): self
{
return new self(sprintf(
'Role metier "%s" introuvable. Appelle RbacSeeder::ensureRoles() avant attachMatrix()/ensureDemoUsers().',
$roleCode,
));
}
public static function missingPermission(string $permissionCode): self
{
return new self(sprintf(
'Permission "%s" (matrice § 2.7) absente du catalogue. '
.'Lance d\'abord `bin/console app:sync-permissions` pour la poser en base, puis relance le seed RBAC.',
$permissionCode,
));
}
}
src/Module/Core/Infrastructure/Console/SeedRbacCommand.php
+138
View File
@@ -0,0 +1,138 @@
<?php
declare(strict_types=1);
namespace App\Module\Core\Infrastructure\Console;
use App\Module\Core\Application\Rbac\RbacSeeder;
use App\Module\Core\Domain\Exception\RbacSeedException;
use Symfony\Component\Console\Attribute\AsCommand;
use Symfony\Component\Console\Command\Command;
use Symfony\Component\Console\Input\InputInterface;
use Symfony\Component\Console\Input\InputOption;
use Symfony\Component\Console\Output\OutputInterface;
use Symfony\Component\Console\Style\SymfonyStyle;
/**
* Seed RBAC metier idempotent et NON destructif (cf. ERP-74 / spec-back M1
* § 2.7). Contrairement aux fixtures Doctrine (`require-dev`, absentes du build
* prod `--no-dev`), cette commande applicative est presente dans l'image prod :
* elle est donc rejouable en recette/staging/prod.
*
* Etape de release : a lancer APRES `doctrine:migrations:migrate` et
* `app:sync-permissions`.
* - En prod : `app:seed-rbac` (roles + matrice § 2.7, sans comptes demo).
* - En recette : `app:seed-rbac --with-demo-users --password=<...>` pour
* disposer de logins de test.
*
* Toute la logique (litteraux des roles, matrice, comptes demo) vit dans
* RbacSeeder — cette commande n'en est que l'enveloppe CLI.
*/
#[AsCommand(
name: 'app:seed-rbac',
description: 'Seede les roles metier RBAC + la matrice § 2.7 (idempotent, non destructif).',
)]
final class SeedRbacCommand extends Command
{
/** Variable d'environnement de repli pour le mot de passe des comptes demo. */
private const string PASSWORD_ENV = 'RBAC_DEMO_PASSWORD';
public function __construct(private readonly RbacSeeder $seeder)
{
parent::__construct();
}
protected function configure(): void
{
$this
->addOption(
'with-demo-users',
null,
InputOption::VALUE_NONE,
'Cree aussi un compte demo par role metier (recette/dev — JAMAIS en prod).',
)
->addOption(
'password',
null,
InputOption::VALUE_REQUIRED,
'Mot de passe des comptes demo (defaut : variable d\'env '.self::PASSWORD_ENV.'). Requis avec --with-demo-users.',
)
;
}
protected function execute(InputInterface $input, OutputInterface $output): int
{
$io = new SymfonyStyle($input, $output);
// 1. Roles metier + matrice § 2.7. attachMatrix() exige que les
// permissions soient en base : sinon RbacSeedException porteuse de
// l'invite a lancer `app:sync-permissions`.
try {
$createdRoles = $this->seeder->ensureRoles();
$addedLinks = $this->seeder->attachMatrix();
} catch (RbacSeedException $e) {
$io->error($e->getMessage());
return Command::FAILURE;
}
$io->text(sprintf(
'Roles metier : %d cree(s), matrice § 2.7 : %d lien(s) ajoute(s).',
count($createdRoles),
$addedLinks,
));
// 2. Comptes demo (optionnel, jamais en prod).
if ((bool) $input->getOption('with-demo-users')) {
$password = $this->resolveDemoPassword($input);
if (null === $password) {
$io->error(sprintf(
'--with-demo-users exige un mot de passe : passe --password=<...> ou definis la variable d\'env %s. '
.'(Aucun mot de passe en dur cote serveur.)',
self::PASSWORD_ENV,
));
return Command::FAILURE;
}
try {
$createdUsers = $this->seeder->ensureDemoUsers($password);
} catch (RbacSeedException $e) {
$io->error($e->getMessage());
return Command::FAILURE;
}
$io->text(sprintf(
'Comptes demo : %d cree(s)%s.',
count($createdUsers),
[] === $createdUsers ? '' : ' ['.implode(', ', $createdUsers).']',
));
}
$io->success('Seed RBAC metier termine (idempotent).');
return Command::SUCCESS;
}
/**
* Resout le mot de passe demo : option `--password` prioritaire, sinon
* variable d'environnement. Renvoie null si aucun n'est fourni (la commande
* refuse alors --with-demo-users plutot que d'inventer un mot de passe).
*/
private function resolveDemoPassword(InputInterface $input): ?string
{
/** @var null|string $option */
$option = $input->getOption('password');
if (null !== $option && '' !== $option) {
return $option;
}
$env = $_SERVER[self::PASSWORD_ENV] ?? $_ENV[self::PASSWORD_ENV] ?? getenv(self::PASSWORD_ENV);
if (is_string($env) && '' !== $env) {
return $env;
}
return null;
}
}
src/Module/Core/Infrastructure/DataFixtures/RbacDemoFixtures.php
+56
View File
@@ -0,0 +1,56 @@
<?php
declare(strict_types=1);
namespace App\Module\Core\Infrastructure\DataFixtures;
use App\Module\Core\Application\Rbac\RbacSeeder;
use App\Module\Sites\Infrastructure\DataFixtures\SitesFixtures;
use Doctrine\Bundle\FixturesBundle\Fixture;
use Doctrine\Common\DataFixtures\DependentFixtureInterface;
use Doctrine\Persistence\ObjectManager;
/**
* Fixture dev/test des roles metier MALIO (bureau / compta / commerciale /
* usine) + comptes demo associes. DRY : delegue au MEME service RbacSeeder que
* la commande `app:seed-rbac`, de sorte que `make db-reset` reproduise l'etat
* de recette.
*
* Depend de SitesFixtures : les comptes demo sont rattaches au site par defaut
* (cf. RbacSeeder::DEFAULT_SITE_NAME).
*
* ⚠ N'attache PAS la matrice § 2.7 ici : `doctrine:fixtures:load` PURGE la table
* `permission` avant de charger, donc les codes `commercial.clients.*` ne sont
* pas encore en base au moment du load (cf. ordre du makefile : fixtures PUIS
* `app:sync-permissions`). La matrice est attachee juste apres, par l'etape
* `app:seed-rbac` du makefile (db-reset / test-db-setup), via le meme seeder.
* Resultat final identique a la recette : roles + matrice + comptes demo.
*/
final class RbacDemoFixtures extends Fixture implements DependentFixtureInterface
{
/**
* Mot de passe DEV/TEST connu des comptes demo (bureau / compta /
* commerciale / usine). Reference par les tests fonctionnels de matrice
* RBAC. Sans rapport avec la prod : en recette/prod le mot de passe est
* fourni explicitement a `app:seed-rbac --with-demo-users --password=...`.
*/
public const string DEMO_PASSWORD = 'demo';
public function __construct(private readonly RbacSeeder $seeder) {}
/**
* @return array<int, class-string>
*/
public function getDependencies(): array
{
return [SitesFixtures::class];
}
public function load(ObjectManager $manager): void
{
// Idempotent : ensureRoles puis ensureDemoUsers (lookup par code /
// username). La matrice est volontairement deferree (cf. docblock).
$this->seeder->ensureRoles();
$this->seeder->ensureDemoUsers(self::DEMO_PASSWORD);
}
}