test(technique) : couvrir RG-3.x PHPUnit + capturer le contrat JSON (ERP-139) (#100)

Ticket Lesstime #139 (M3 — Répertoire prestataires, position 1.9). DoD back avant le front : suite PHPUnit consolidée sur la matrice § 8.1 + captures JSON réelles dans la spec § 4.0.bis.

## Contenu
- **Fix réfs comptables** : `provider:read:accounting` ajouté sur `TvaMode`/`PaymentDelay`/`PaymentType`/`Bank` — sans ça elles sortaient en IRI nu dans le détail prestataire (réplique du fix ERP-92 du M2, piège #1 § 4.0.bis).
- **`ProviderSerializationContractTest`** (13 tests) : gating RIB/scalaires par omission, réfs compta en objet `{id,code,label}`, `isArchived`, embed categories/sites liste+détail, sous-collections, enveloppe AP4 ; `testDodReferenceJsonShape` dumpe le JSON réel (`PROVIDER_DOD_DUMP=1`).
- **`ProviderAuditTest`** (5 tests) : create/update/archive (`technique.Provider`), iban/bic dans le diff (`technique.ProviderRib`, pas dAuditIgnore), trace M2M `sites`.
- **`ProviderListTest`** étendu : `?pagination=false`, anti-N+1, filtre `?typeCode=PRESTATAIRE`.
- **`ProviderRbacGatingTest`** étendu : restauration en conflit de nom → 409 (RG-3.14).
- **`ProviderFixtures`** (§ 8.4) : démo idempotente (complet VIREMENT+banque+RIB, LCR+RIB, CHEQUE multi-cat, minimal, archivé) répartie sur sites 86/17/82 ; skip en env `test`.
- Helper `seedCompleteProvider` ; spec § 4.0.bis : gabarits remplacés par les captures réelles (liste + détail avec/sans accounting.view).

## Vérifications
- `make php-cs-fixer-allow-risky` → 0 fichier
- `make test` → OK, 677 tests, 3328 assertions (garde-fous globaux verts)

## Notes
- MR stackée sur ERP-138 (base = sa branche).
- Fixtures démo exercées en dev via `make fixtures` (autowiring vérifié).

---------

Co-authored-by: Matthieu <contact@malio.fr>
Reviewed-on: #100

src/Module/Technique/Domain/Entity/ProviderAddress.php

@@ -4,6 +4,14 @@ declare(strict_types=1);
 
 namespace App\Module\Technique\Domain\Entity;
 
+use ApiPlatform\Metadata\ApiResource;
+use ApiPlatform\Metadata\Delete;
+use ApiPlatform\Metadata\Get;
+use ApiPlatform\Metadata\Link;
+use ApiPlatform\Metadata\Patch;
+use ApiPlatform\Metadata\Post;
+use App\Module\Technique\Infrastructure\ApiPlatform\State\Processor\ProviderAddressProcessor;
+use App\Module\Technique\Infrastructure\ApiPlatform\State\Provider\ProviderSubResourceItemProvider;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\CategoryInterface;
@@ -32,16 +40,64 @@ use Symfony\Component\Validator\Context\ExecutionContextInterface;
  *    type PRESTATAIRE attendu (RG-3.09, Assert\Callback validateCategoryType).
  *
  * Embarquee sous `provider.addresses` au detail (groupe provider:item:read,
- * maillon (a)). L'exposition en SOUS-RESSOURCE API est un ticket ulterieur du M3 :
- * pas d'#[ApiResource] ici.
+ * maillon (a)).
+ *
+ * Sous-ressource API (ERP-135, spec § 4.5) :
+ *  - POST /api/providers/{providerId}/addresses : creation rattachee au prestataire
+ *    parent (Link toProperty 'provider'), security technique.providers.manage.
+ *  - PATCH / DELETE /api/provider_addresses/{id} : security technique.providers.manage.
+ *  - GET /api/provider_addresses/{id} : lecture unitaire (security view) — la lecture
+ *    courante reste via le parent. Pas de GET collection autonome.
+ * Tout passe par le ProviderAddressProcessor (rattachement parent + cloisonnement
+ * d'ecriture des sites, § 2.13). Les regles RG-3.05/3.06/3.09 sont portees par les
+ * contraintes de l'entite (jouees avant le processor).
  *
  * Audite (#[Auditable]) + Timestampable / Blamable.
  */
+#[ApiResource(
+    operations: [
+        new Get(
+            security: "is_granted('technique.providers.view')",
+            // site:read + category:read : embarquent les Site / Category lies
+            // (maillon (c)) plutot que des IRI nus dans le retour.
+            normalizationContext: ['groups' => ['provider:item:read', 'site:read', 'category:read', 'default:read']],
+            // Cloisonnement par site du prestataire parent (§ 2.13) : 404 hors perimetre.
+            provider: ProviderSubResourceItemProvider::class,
+        ),
+        new Post(
+            uriTemplate: '/providers/{providerId}/addresses',
+            uriVariables: [
+                'providerId' => new Link(fromClass: Provider::class, toProperty: 'provider'),
+            ],
+            // read:false : pas de stade lecture du parent. Le Link toProperty
+            // resoudrait l'enfant (SELECT ProviderAddress ... WHERE provider = :id)
+            // et casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
+            // manuellement par ProviderAddressProcessor::linkParent (404 si absent).
+            read: false,
+            security: "is_granted('technique.providers.manage')",
+            normalizationContext: ['groups' => ['provider:item:read', 'site:read', 'category:read', 'default:read']],
+            denormalizationContext: ['groups' => ['provider:write:addresses']],
+            processor: ProviderAddressProcessor::class,
+        ),
+        new Patch(
+            security: "is_granted('technique.providers.manage')",
+            normalizationContext: ['groups' => ['provider:item:read', 'site:read', 'category:read', 'default:read']],
+            denormalizationContext: ['groups' => ['provider:write:addresses']],
+            provider: ProviderSubResourceItemProvider::class,
+            processor: ProviderAddressProcessor::class,
+        ),
+        new Delete(
+            security: "is_granted('technique.providers.manage')",
+            provider: ProviderSubResourceItemProvider::class,
+            processor: ProviderAddressProcessor::class,
+        ),
+    ],
+)]
 #[ORM\Entity]
 #[ORM\Table(name: 'provider_address')]
 #[ORM\Index(name: 'idx_provider_address_provider', columns: ['provider_id'])]
 #[Auditable]
-class ProviderAddress implements TimestampableInterface, BlamableInterface
+class ProviderAddress implements TimestampableInterface, BlamableInterface, ProviderOwnedInterface
 {
     use TimestampableBlamableTrait;