fix(rbac) : referentiels /categories et /sites lisibles par les roles metier (ERP-102)
Les roles metier (bureau / compta / commerciale) prenaient un 403 sur GET /api/categories et GET /api/sites : la security des GetCollection/Get exigeait catalog.categories.view / sites.view, permissions reservees a l'administration du Catalogue et des Sites. Or ces referentiels sont transverses (selects de creation/filtre client) : creation de client cassee et filtres vides pour ces roles. Correctif back (Option C — permission de lecture-referentiel dediee) : - Nouvelles permissions catalog.categories.read_ref et sites.read_ref, distinctes de .view (pas d'item sidebar admin) et de .manage. Chaque permission appartient a son propre module -> aucun couplage inter-module (regle ABSOLUE n°1) et reutilisable tel quel par M2 Fournisseurs. - Security lecture (liste + item) elargie : view OR read_ref sur Category et Site. - Matrice RBAC § 2.7 (RbacSeeder) : read_ref attache a bureau / compta / commerciale. Usine reste sans acces. Durcissement front (resilience, requis dans tous les cas) : - useClientReferentials.loadCommon passe de Promise.all a Promise.allSettled avec affectation isolee par referentiel : l'echec d'un endpoint ne vide que SON select, plus la totalite du formulaire. Tests : - ClientRBACMatrixTest : les roles metier listent /categories et /sites (200), usine reste a 403. - SitesModuleTest : set de permissions porte a 4 codes. - useClientReferentials.spec : resilience d'un referentiel en echec. Miroirs E2E (personas.ts / SeedE2ECommand) non touches : read_ref n'ajoute aucun lien sidebar, le persona user-full lit deja via .view, et aucun persona ne modelise un role metier seul ; pas de nouveau test E2E (regle n°7).
This commit is contained in:
Matthieu
@@ -272,6 +272,33 @@ final class ClientRBACMatrixTest extends AbstractCommercialApiTestCase
|
||||
self::assertResponseStatusCodeSame(200);
|
||||
}
|
||||
|
||||
public function testBusinessRolesCanReadCategoriesAndSitesReferentials(): void
|
||||
{
|
||||
// ERP-102 : /categories et /sites sont des referentiels TRANSVERSES.
|
||||
// Tout role qui gere des clients (bureau / compta / commerciale) doit
|
||||
// pouvoir les LISTER pour alimenter les selects de creation/filtre client,
|
||||
// via la permission de lecture-referentiel dediee (catalog.categories.read_ref
|
||||
// / sites.read_ref) attachee par la matrice § 2.7 — sans pour autant porter
|
||||
// la permission d'administration `.view`. Usine, sans aucune permission,
|
||||
// reste interdit.
|
||||
foreach (['bureau', 'compta', 'commerciale'] as $role) {
|
||||
$client = $this->authAs($role);
|
||||
|
||||
$client->request('GET', '/api/categories', ['headers' => ['Accept' => self::LD]]);
|
||||
self::assertResponseStatusCodeSame(200, sprintf('Le role %s doit pouvoir lister /categories', $role));
|
||||
|
||||
$client->request('GET', '/api/sites', ['headers' => ['Accept' => self::LD]]);
|
||||
self::assertResponseStatusCodeSame(200, sprintf('Le role %s doit pouvoir lister /sites', $role));
|
||||
}
|
||||
|
||||
// Usine : aucune permission -> reste a 403 sur les referentiels.
|
||||
$usine = $this->authAs('usine');
|
||||
$usine->request('GET', '/api/categories', ['headers' => ['Accept' => self::LD]]);
|
||||
self::assertResponseStatusCodeSame(403, 'Usine ne doit pas pouvoir lister /categories');
|
||||
$usine->request('GET', '/api/sites', ['headers' => ['Accept' => self::LD]]);
|
||||
self::assertResponseStatusCodeSame(403, 'Usine ne doit pas pouvoir lister /sites');
|
||||
}
|
||||
|
||||
private function authAs(string $role): Client
|
||||
{
|
||||
return $this->authenticatedClient($role, self::PWD);
|
||||
|
||||
Reference in New Issue
Block a user