Correctifs post-review M2 fournisseurs (P1 + P2/P3 + alignement M1) (#74)
Auto Tag Develop / tag (push) Successful in 8s
Auto Tag Develop / tag (push) Successful in 8s
Correctifs issus de la review lead du stack M2 fournisseurs (ERP-84→113), répartis en priorités. Base : `develop`. Suite verte : `make test` 577 tests / 2475 assertions, `php-cs-fixer` 0 correction. ## P1 — défauts bloquants - **ERP-89** — Le message de complétude Information ne fuit plus le nom de champ technique (`(champ "%s")` retiré). Correction miroir appliquée aux deux validators (Supplier + Client), accent uniformisé. Le `propertyPath` est conservé pour le mapping inline front. - **ERP-112** — La fixture fournisseurs résout désormais la catégorie en filtrant sur le type `FOURNISSEUR` (via `CategoryInterface::getCategoryTypeCode()`), évitant de rattacher une catégorie homonyme d'un autre type (RG-2.10). - **ERP-113** — Tests d'export complétés : dédup F3 (fournisseur multi-catégories rendu sur une seule ligne) ; gating SIREN prouvé via un utilisateur minimal non-admin portant `suppliers.view` + `suppliers.accounting.view` (nouveau helper `createUserWithPermissions`). ## P2 / P3 - **ERP-86** — `maxMessage` explicite sur `competitors` (Supplier). - **ERP-92** — Garde `skipIfSitesModuleDisabled()` sur le test POST adresse sans site (évite un faux positif si le module Sites est désactivé). - **ERP-89 bis** — Nouveau test : Admin authentifié non-Commerciale + Information incomplète → 200 (distinct du cas `user=null`). - **ERP-85** — `down()` de la migration fournisseurs en `DROP TABLE IF EXISTS`. - **ERP-87** — Reset de la mémoïsation payload en début de `process()` du SupplierProcessor + documentation du filtre `?archivedOnly` de l'export (parité avec le provider liste). - **spec-back.md (M2)** — Alignée sur le code (le code fait foi) : security PATCH `manage or accounting.manage`, gating accounting par ajout de groupe (`SupplierReadGroupContextBuilder`), anti-N+1 via `hydrateListCollections` (pas de fetch-join), types de colonnes réels (`IDENTITY` / `TIMESTAMP(0)`). ## Alignement M1 ↔ M2 - **ERP-86/87 (Client)** — Mêmes corrections appliquées aux jumeaux M1 : message `competitors` explicite + reset mémoïsation `ClientProcessor`. ## Décision actée - **RG-2.10 (catégorie)** : court-circuit conservé (une seule violation sur `categories`). Les violations partageant path + message sont fusionnées côté front ; ERP-101 (toutes les erreurs en un aller-retour) est déjà respecté car le Callback n'interrompt pas la validation des autres champs. --------- Co-authored-by: admin malio <malio@yuno.malio.fr> Co-authored-by: Matthieu <contact@malio.fr> Reviewed-on: #74 Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr> Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
This commit was merged in pull request #74.
This commit is contained in:
@@ -15,8 +15,9 @@ use PhpOffice\PhpSpreadsheet\IOFactory;
|
||||
* Couvre : reponse 200 (Content-Type + Content-Disposition), exclusion des
|
||||
* archives par defaut, respect du filtre ?search, peuplement des colonnes
|
||||
* contact principal / categories / sites, gating de la colonne SIREN selon
|
||||
* commercial.suppliers.accounting.view, 403 sans commercial.suppliers.view,
|
||||
* 401 anonyme.
|
||||
* commercial.suppliers.accounting.view (admin ET user minimal a permission
|
||||
* explicite), dedup F3 (fournisseur multi-categories rendu sur une seule ligne),
|
||||
* 403 sans commercial.suppliers.view, 401 anonyme.
|
||||
*
|
||||
* @internal
|
||||
*/
|
||||
@@ -178,6 +179,60 @@ final class SupplierExportControllerTest extends AbstractSupplierApiTestCase
|
||||
self::assertStringNotContainsString('987654321', $this->flatten($grid));
|
||||
}
|
||||
|
||||
/**
|
||||
* Gating SIREN prouve via une permission EXPLICITE (et non le bypass admin) :
|
||||
* un user minimal portant uniquement commercial.suppliers.view +
|
||||
* commercial.suppliers.accounting.view voit bien la colonne SIREN et sa
|
||||
* valeur. Complement de testSirenColumnPresentWithAccountingView (admin), qui
|
||||
* ne prouve pas que accounting.view SEULE suffit (l'admin bypasse le RBAC).
|
||||
* Le pendant negatif (sans accounting.view -> colonne absente) est couvert par
|
||||
* testSirenColumnAbsentWithoutAccountingView.
|
||||
*/
|
||||
public function testSirenColumnPresentForMinimalUserWithAccountingView(): void
|
||||
{
|
||||
// Seed via admin, puis relecture par un user non-admin a 2 permissions.
|
||||
$this->createAdminClient();
|
||||
$supplier = $this->seedSupplier('Gated Siren Co');
|
||||
$em = $this->getEm();
|
||||
$supplier->setSiren('456789123');
|
||||
$em->flush();
|
||||
|
||||
$creds = $this->createUserWithPermissions([
|
||||
'commercial.suppliers.view',
|
||||
'commercial.suppliers.accounting.view',
|
||||
]);
|
||||
$viewer = $this->authenticatedClient($creds['username'], $creds['password']);
|
||||
|
||||
$grid = $this->gridFromResponse($viewer->request('GET', self::EXPORT_URL)->getContent());
|
||||
|
||||
self::assertContains('SIREN', $grid[0]);
|
||||
self::assertStringContainsString('456789123', $this->flatten($grid));
|
||||
}
|
||||
|
||||
/**
|
||||
* Dedup F3 : un fournisseur portant >= 2 categories FOURNISSEUR est multiplie
|
||||
* par la jointure (selection/hydratation des collections) ; l'export doit le
|
||||
* rendre sur UNE SEULE ligne. On seede un fournisseur a 2 categories et on
|
||||
* assert qu'il n'apparait qu'une fois dans la colonne « Nom fournisseur ».
|
||||
*/
|
||||
public function testExportDeduplicatesSupplierWithMultipleCategories(): void
|
||||
{
|
||||
$client = $this->createAdminClient();
|
||||
$supplier = $this->seedSupplier('Multi Cat Co', false, 'NEGOCIANT');
|
||||
// 2e categorie FOURNISSEUR sur le meme fournisseur (RG-2.10).
|
||||
$supplier->addCategory($this->supplierCategory('GROSSISTE'));
|
||||
$this->getEm()->flush();
|
||||
|
||||
$names = $this->companyNames($client->request('GET', self::EXPORT_URL)->getContent());
|
||||
|
||||
$occurrences = count(array_filter($names, static fn (string $name): bool => 'MULTI CAT CO' === $name));
|
||||
self::assertSame(
|
||||
1,
|
||||
$occurrences,
|
||||
'Un fournisseur multi-categories doit apparaitre sur une seule ligne (dedup F3).',
|
||||
);
|
||||
}
|
||||
|
||||
public function testForbiddenWithoutSuppliersViewPermission(): void
|
||||
{
|
||||
$creds = $this->createUserWithPermission('core.users.view');
|
||||
|
||||
@@ -126,6 +126,10 @@ final class SupplierSubResourceApiTest extends AbstractSupplierApiTestCase
|
||||
|
||||
public function testPostAddressWithoutSiteReturns422(): void
|
||||
{
|
||||
// Sans cette garde, un module Sites desactive renverrait 404 (route
|
||||
// /addresses indisponible) et le test passerait pour la MAUVAISE raison
|
||||
// au lieu de prouver RG-2.06 (Assert\Count min 1 sur sites).
|
||||
$this->skipIfSitesModuleDisabled();
|
||||
$client = $this->createAdminClient();
|
||||
$seed = $this->seedSupplier('Address No Site');
|
||||
|
||||
|
||||
@@ -101,6 +101,24 @@ final class SupplierProcessorTest extends TestCase
|
||||
self::assertInstanceOf(Supplier::class, $processor->process($supplier, $this->operation()));
|
||||
}
|
||||
|
||||
public function testAdminIncompleteInformationPasses(): void
|
||||
{
|
||||
// Distinct du cas user=null : un utilisateur AUTHENTIFIE mais non-Commerciale
|
||||
// (ici un admin, BusinessRoleAwareInterface renvoyant false pour tout role
|
||||
// metier) n'est pas soumis a la completude Information -> 200 malgre un
|
||||
// onglet Information incomplet. Prouve que le gate porte bien sur le ROLE
|
||||
// metier Commerciale, et pas sur « il y a un utilisateur connecte ».
|
||||
$supplier = $this->minimalSupplier();
|
||||
$supplier->setDescription('Une description');
|
||||
|
||||
$processor = $this->makeProcessor(
|
||||
payload: ['description' => 'Une description'],
|
||||
user: $this->adminUser(),
|
||||
);
|
||||
|
||||
self::assertInstanceOf(Supplier::class, $processor->process($supplier, $this->operation()));
|
||||
}
|
||||
|
||||
/**
|
||||
* @param list<string> $granted Permissions accordees a l'utilisateur courant
|
||||
* @param array<string, mixed> $payload Corps JSON simule de la requete
|
||||
@@ -175,6 +193,33 @@ final class SupplierProcessorTest extends TestCase
|
||||
return $this->createStub(Operation::class);
|
||||
}
|
||||
|
||||
/**
|
||||
* Utilisateur authentifie non-Commerciale (profil admin) : porte
|
||||
* BusinessRoleAwareInterface mais ne reconnait aucun role metier. Sert a
|
||||
* distinguer « pas de role Commerciale » de « pas d'utilisateur » (null).
|
||||
*/
|
||||
private function adminUser(): UserInterface
|
||||
{
|
||||
return new class implements UserInterface, BusinessRoleAwareInterface {
|
||||
public function hasBusinessRole(string $roleCode): bool
|
||||
{
|
||||
return false;
|
||||
}
|
||||
|
||||
public function getRoles(): array
|
||||
{
|
||||
return ['ROLE_ADMIN'];
|
||||
}
|
||||
|
||||
public function eraseCredentials(): void {}
|
||||
|
||||
public function getUserIdentifier(): string
|
||||
{
|
||||
return 'admin-test';
|
||||
}
|
||||
};
|
||||
}
|
||||
|
||||
private function commercialeUser(): UserInterface
|
||||
{
|
||||
return new class implements UserInterface, BusinessRoleAwareInterface {
|
||||
|
||||
Reference in New Issue
Block a user