test(technique) : couvrir RG-3.x PHPUnit + capturer le contrat JSON (ERP-139) (#100)

Ticket Lesstime #139 (M3 — Répertoire prestataires, position 1.9). DoD back avant le front : suite PHPUnit consolidée sur la matrice § 8.1 + captures JSON réelles dans la spec § 4.0.bis.

## Contenu
- **Fix réfs comptables** : `provider:read:accounting` ajouté sur `TvaMode`/`PaymentDelay`/`PaymentType`/`Bank` — sans ça elles sortaient en IRI nu dans le détail prestataire (réplique du fix ERP-92 du M2, piège #1 § 4.0.bis).
- **`ProviderSerializationContractTest`** (13 tests) : gating RIB/scalaires par omission, réfs compta en objet `{id,code,label}`, `isArchived`, embed categories/sites liste+détail, sous-collections, enveloppe AP4 ; `testDodReferenceJsonShape` dumpe le JSON réel (`PROVIDER_DOD_DUMP=1`).
- **`ProviderAuditTest`** (5 tests) : create/update/archive (`technique.Provider`), iban/bic dans le diff (`technique.ProviderRib`, pas dAuditIgnore), trace M2M `sites`.
- **`ProviderListTest`** étendu : `?pagination=false`, anti-N+1, filtre `?typeCode=PRESTATAIRE`.
- **`ProviderRbacGatingTest`** étendu : restauration en conflit de nom → 409 (RG-3.14).
- **`ProviderFixtures`** (§ 8.4) : démo idempotente (complet VIREMENT+banque+RIB, LCR+RIB, CHEQUE multi-cat, minimal, archivé) répartie sur sites 86/17/82 ; skip en env `test`.
- Helper `seedCompleteProvider` ; spec § 4.0.bis : gabarits remplacés par les captures réelles (liste + détail avec/sans accounting.view).

## Vérifications
- `make php-cs-fixer-allow-risky` → 0 fichier
- `make test` → OK, 677 tests, 3328 assertions (garde-fous globaux verts)

## Notes
- MR stackée sur ERP-138 (base = sa branche).
- Fixtures démo exercées en dev via `make fixtures` (autowiring vérifié).

---------

Co-authored-by: Matthieu <contact@malio.fr>
Reviewed-on: #100

src/Module/Technique/Domain/Entity/ProviderRib.php

@@ -4,6 +4,14 @@ declare(strict_types=1);
 
 namespace App\Module\Technique\Domain\Entity;
 
+use ApiPlatform\Metadata\ApiResource;
+use ApiPlatform\Metadata\Delete;
+use ApiPlatform\Metadata\Get;
+use ApiPlatform\Metadata\Link;
+use ApiPlatform\Metadata\Patch;
+use ApiPlatform\Metadata\Post;
+use App\Module\Technique\Infrastructure\ApiPlatform\State\Processor\ProviderRibProcessor;
+use App\Module\Technique\Infrastructure\ApiPlatform\State\Provider\ProviderSubResourceItemProvider;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
@@ -15,7 +23,7 @@ use Symfony\Component\Validator\Constraints as Assert;
 /**
  * Coordonnees bancaires d'un prestataire (1:n) — onglet Comptabilite. Au moins un
  * RIB est obligatoire si le type de reglement est LCR (RG-3.08, verifie au
- * ProviderProcessor : refus du DELETE du dernier RIB sous LCR — ERP-134).
+ * ProviderRibProcessor : refus du DELETE du dernier RIB sous LCR — ERP-135).
  *
  * Embarque sous `provider.ribs` UNIQUEMENT si l'user a accounting.view : le
  * read-group est `provider:read:accounting`, retire du contexte par le
@@ -23,19 +31,62 @@ use Symfony\Component\Validator\Constraints as Assert;
  * piege n°4 du M1). Aucun #[AuditIgnore] sur iban/bic : l'audit etant admin-only,
  * la tracabilite RIB est conservee (decision M1 reportee, § 2.7).
  *
- * L'exposition en SOUS-RESSOURCE API (POST /providers/{id}/ribs, PATCH / DELETE,
- * gating accounting.manage) est un ticket ulterieur du M3 : pas d'#[ApiResource]
- * ici.
+ * Sous-ressource API (ERP-135, spec § 4.5) — gating comptable renforce :
+ *  - POST /api/providers/{providerId}/ribs : creation rattachee au prestataire
+ *    parent (Link toProperty 'provider'), security technique.providers.accounting.manage.
+ *  - PATCH / DELETE /api/provider_ribs/{id} : security technique.providers.accounting.manage.
+ *    Le DELETE refuse la suppression du dernier RIB sous LCR (RG-3.08, 409).
+ *  - GET /api/provider_ribs/{id} : lecture unitaire, security
+ *    technique.providers.accounting.view (donnees bancaires sensibles). Pas de GET
+ *    collection autonome.
+ * Tout passe par le ProviderRibProcessor (RG-3.08 sur DELETE).
  *
  * Validation IBAN/BIC : Assert\Iban + Assert\Bic standard Symfony (pas de controle
  * banque reelle), avec controle croise pays BIC/IBAN (ibanPropertyPath). Audite
  * (#[Auditable]) + Timestampable / Blamable.
  */
+#[ApiResource(
+    operations: [
+        new Get(
+            security: "is_granted('technique.providers.accounting.view')",
+            normalizationContext: ['groups' => ['provider:read:accounting']],
+            // Cloisonnement par site du prestataire parent (§ 2.13) : 404 hors perimetre.
+            provider: ProviderSubResourceItemProvider::class,
+        ),
+        new Post(
+            uriTemplate: '/providers/{providerId}/ribs',
+            uriVariables: [
+                'providerId' => new Link(fromClass: Provider::class, toProperty: 'provider'),
+            ],
+            // read:false : pas de stade lecture du parent. Le Link toProperty
+            // resoudrait l'enfant (SELECT ProviderRib ... WHERE provider = :id) et
+            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
+            // manuellement par ProviderRibProcessor::linkParent (404 si absent).
+            read: false,
+            security: "is_granted('technique.providers.accounting.manage')",
+            normalizationContext: ['groups' => ['provider:read:accounting']],
+            denormalizationContext: ['groups' => ['provider:write:accounting']],
+            processor: ProviderRibProcessor::class,
+        ),
+        new Patch(
+            security: "is_granted('technique.providers.accounting.manage')",
+            normalizationContext: ['groups' => ['provider:read:accounting']],
+            denormalizationContext: ['groups' => ['provider:write:accounting']],
+            provider: ProviderSubResourceItemProvider::class,
+            processor: ProviderRibProcessor::class,
+        ),
+        new Delete(
+            security: "is_granted('technique.providers.accounting.manage')",
+            provider: ProviderSubResourceItemProvider::class,
+            processor: ProviderRibProcessor::class,
+        ),
+    ],
+)]
 #[ORM\Entity]
 #[ORM\Table(name: 'provider_rib')]
 #[ORM\Index(name: 'idx_provider_rib_provider', columns: ['provider_id'])]
 #[Auditable]
-class ProviderRib implements TimestampableInterface, BlamableInterface
+class ProviderRib implements TimestampableInterface, BlamableInterface, ProviderOwnedInterface
 {
     use TimestampableBlamableTrait;