From fa204823938973128f6288a2729c9b94b7183335 Mon Sep 17 00:00:00 2001 From: Matthieu Date: Mon, 1 Jun 2026 23:21:00 +0200 Subject: [PATCH] =?UTF-8?q?feat(commercial)=20:=20enforce=20address=20vali?= =?UTF-8?q?dations=20RG-1.06/07/08/11/29=20=E2=86=92=20422?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Mirror applicatif des CHECK Postgres d'adresse via Assert\Callback sur ClientAddress, joue avant la base pour remonter une 422 Hydra au lieu d'une 500 DBAL, et durcit RG-1.29 (categorie d'adresse limitee a SECTEUR/AUTRE) : - validateProspectExclusivity : isProspect exclusif de isDelivery/isBilling (RG-1.06/07/08, mirror chk_client_address_prospect_exclusive). - validateBillingEmailPresence : billingEmail obligatoire ssi isBilling (RG-1.11, mirror chk_client_address_billing_email). - validateCategoryTypes : refuse une categorie DISTRIBUTEUR/COURTIER sur une adresse (RG-1.29, violation 'categories'), via CategoryInterface. Les CHECK BDD restent en filet de securite. Tests ClientAddressTest durcis de >= 400 vers 422 explicite + 4 cas RG-1.29. Cahier de test M1 mis a jour. --- docs/specs/M1-clients/cahier-test-back-M1.md | 29 ++-- .../Domain/Entity/ClientAddress.php | 82 ++++++++- .../Commercial/Api/ClientAddressTest.php | 158 ++++++++++++++---- 3 files changed, 218 insertions(+), 51 deletions(-) diff --git a/docs/specs/M1-clients/cahier-test-back-M1.md b/docs/specs/M1-clients/cahier-test-back-M1.md index 95afbc9..be9e2cc 100644 --- a/docs/specs/M1-clients/cahier-test-back-M1.md +++ b/docs/specs/M1-clients/cahier-test-back-M1.md @@ -23,10 +23,10 @@ merge de la stack. | RG-1.03 | distributor/broker exclusifs + type catégorie | `ClientApiTest::testPostWithDistributorAndBrokerReturns422` ; `::testPostDistributorReferencingNonDistributorReturns422` ; `::testPostValidDistributorReturns201` ; `ClientProcessorTest` (unit) | ERP-55 | | RG-1.04 | Onglet Information obligatoire pour rôle Commerciale | `ClientProcessorTest::testCommercialeIncompleteInformationIsUnprocessable` ; `::testNonCommercialeSkipsInformationCompleteness` (unit, dormant). **Test fonctionnel + durcissement → ERP-74** | ERP-55 / **ERP-74** | | RG-1.05 | Contact : prénom OU nom → 422 (CHECK) | `ClientSubResourceApiTest::testPostContactWithoutNameReturns422` | ERP-57 | -| RG-1.06/07/08 | Adresse prospect exclusive de livraison/facturation (CHECK) | `ClientAddressTest::testProspectAddressCannotBeDelivery` ; `::testProspectAddressCannotBeBilling` | **ERP-60** | +| RG-1.06/07/08 | Adresse prospect exclusive de livraison/facturation → 422 (Assert\Callback + CHECK filet) | `ClientAddressTest::testProspectAddressCannotBeDelivery` ; `::testProspectAddressCannotBeBilling` | ERP-60 / **ERP-76** | | RG-1.09 | Code postal `^[0-9]{4,5}$` → 422 | `ClientSubResourceApiTest::testPostAddressWithInvalidPostalCodeReturns422` | ERP-57 | | RG-1.10 | ≥ 1 site sur adresse → 422 | `ClientSubResourceApiTest::testPostAddressWithoutSiteReturns422` | ERP-57 | -| RG-1.11 | billingEmail obligatoire ssi isBilling (CHECK) | `ClientAddressTest::testBillingAddressRequiresBillingEmail` ; `::testNonBillingAddressRejectsBillingEmail` | **ERP-60** | +| RG-1.11 | billingEmail obligatoire ssi isBilling → 422 (Assert\Callback + CHECK filet) | `ClientAddressTest::testBillingAddressRequiresBillingEmail` ; `::testNonBillingAddressRejectsBillingEmail` | ERP-60 / **ERP-76** | | RG-1.12 | Virement → banque obligatoire → 422 | `ClientProcessorTest::testVirementWithoutBankIsUnprocessable` ; `::testVirementWithBankPasses` (unit) | ERP-55 | | RG-1.13 | LCR → ≥ 1 RIB ; DELETE dernier RIB en LCR → 409 | `ClientProcessorTest::testLcrWithoutRibIsUnprocessable` / `::testLcrWithRibPasses` (unit) ; `ClientSubResourceApiTest::testDeleteLastRibUnderLcrReturns409` / `::testDeleteRibNonLcrReturns204` | ERP-55 / ERP-57 | | RG-1.14 | ≥ 1 bloc Contact pour finaliser l'onglet | **Front-driven (pas de state machine back).** Back voisin : `ClientSubResourceApiTest::testDeleteLastContactReturns409` | ERP-57 | @@ -44,7 +44,7 @@ merge de la stack. | RG-1.26 | Tri par défaut companyName ASC | `ClientApiTest::testListSortedByCompanyNameAscAndExcludesArchived` | ERP-55 | | RG-1.27 | Timestampable/Blamable : created* figés, updated* mis à jour | `ClientAuditTest::testCreatedFrozenAndUpdatedByReflectsModifier` | **ERP-60** | | RG-1.28 | PATCH multi-groupes sans permission → 403 strict (tout le payload) | `ClientProcessorTest::testStrictMixWithAccountingFieldIsForbidden` / `::testAccountingFieldWithoutPermissionIsForbidden` (unit) ; **`ClientPatchStrictTest::testMixedGroupsPatchWithoutAccountingPermissionIsForbidden`** (fonctionnel) | ERP-55 / **ERP-60** | -| RG-1.29 | Catégorie d'adresse limitée aux types SECTEUR/AUTRE | **Filtrage LECTURE = front-driven** (SearchFilter `GET /api/categories?categoryType.code[]=…`). **Validation ÉCRITURE (POST/PATPH catégorie DISTRIBUTEUR/COURTIER → 422) NON IMPLÉMENTÉE côté back au M1** (absente du `ClientAddressProcessor` et de la liste § 8.1). → voir « Gaps & suivi » | — (gap) | +| RG-1.29 | Catégorie d'adresse limitée aux types SECTEUR/AUTRE | **Filtrage LECTURE = front-driven** (SearchFilter `GET /api/categories?categoryType.code[]=…`). **Validation ÉCRITURE** : `ClientAddress::validateCategoryTypes` (Assert\Callback) rejette une catégorie DISTRIBUTEUR/COURTIER en 422 (violation `categories`). Tests : `ClientAddressTest::testAddressRejectsDistributorCategory` / `::testAddressRejectsBrokerCategory` / `::testAddressAcceptsSectorCategory` / `::testAddressAcceptsOtherCategory` | **ERP-76** | ## Couvertures transverses @@ -66,14 +66,15 @@ merge de la stack. ## Gaps & suivi -- **RG-1.29 (validation écriture)** : refuser une catégorie de type - `DISTRIBUTEUR`/`COURTIER` sur une `ClientAddress` (→ 422, violation - `categories`) n'est pas implémenté au M1. La spec § 8.1 ne le liste pas comme - cas de test back ; le filtrage de lecture est front-driven. **Suggestion** : - ouvrir un follow-up (durcissement `ClientAddressProcessor`) ou l'intégrer à - ERP-74. Aucune invention de feature dans ERP-60 (ticket test-only). -- **Violations CHECK → statut HTTP** : les CHECK d'adresse (RG-1.06/07/08/11) - sont aujourd'hui rejetées par la base (statut ≥ 400) mais sans mapping fin - vers 422 (pas d'`exception_to_status` ni de listener DBAL→HTTP). Les tests - ERP-60 assertent donc le **rejet** (≥ 400). Un mapping explicite vers 422 - serait une amélioration UX d'API (follow-up possible). +- ~~**RG-1.29 (validation écriture)**~~ — **résolu en ERP-76**. La validation + d'écriture refuse désormais une catégorie de type `DISTRIBUTEUR`/`COURTIER` sur + une `ClientAddress` (→ 422, violation `categories`) via l'Assert\Callback + `ClientAddress::validateCategoryTypes`. Le filtrage de lecture reste + front-driven (SearchFilter). Couvert par `ClientAddressTest`. +- ~~**Violations CHECK → statut HTTP**~~ — **résolu en ERP-76**. Les règles + d'adresse RG-1.06/07/08/11 sont désormais rejetées en **422** par des + Assert\Callback applicatifs (`validateProspectExclusivity` / + `validateBillingEmailPresence`) qui s'exécutent AVANT la base. Les CHECK + Postgres (`chk_client_address_prospect_exclusive` / + `chk_client_address_billing_email`) restent en filet de sécurité. Les tests + `ClientAddressTest` assertent maintenant le 422 explicite (et non plus ≥ 400). diff --git a/src/Module/Commercial/Domain/Entity/ClientAddress.php b/src/Module/Commercial/Domain/Entity/ClientAddress.php index ca2eac8..615d5ae 100644 --- a/src/Module/Commercial/Domain/Entity/ClientAddress.php +++ b/src/Module/Commercial/Domain/Entity/ClientAddress.php @@ -23,19 +23,23 @@ use Doctrine\Common\Collections\Collection; use Doctrine\ORM\Mapping as ORM; use Symfony\Component\Serializer\Attribute\Groups; use Symfony\Component\Validator\Constraints as Assert; +use Symfony\Component\Validator\Context\ExecutionContextInterface; /** * Adresse d'un client (1:n) — onglet Adresse. Une adresse de prospection * (isProspect) est exclusive d'une adresse de livraison/facturation - * (RG-1.06/07/08, CHECK BDD). Un email de facturation est obligatoire ssi - * isBilling (RG-1.11, CHECK BDD). Au moins un site doit etre rattache - * (RG-1.10, Assert\Count). + * (RG-1.06/07/08). Un email de facturation est obligatoire ssi isBilling + * (RG-1.11). Au moins un site doit etre rattache (RG-1.10, Assert\Count). Ces + * regles sont portees par des Assert\Callback (cf. validateProspectExclusivity / + * validateBillingEmailPresence, ERP-76) qui remontent une 422 avant la base ; + * les CHECK Postgres (chk_client_address_prospect_exclusive / + * chk_client_address_billing_email) restent en filet de securite. * * Relations M2M : * - sites : SiteInterface (module Sites) via resolve_target_entities * - contacts : ClientContact (meme module) * - categories : CategoryInterface (module Catalog) via resolve_target_entities - * — limitees aux types SECTEUR/AUTRE cote validation (RG-1.29, hors ERP-57) + * — limitees aux types SECTEUR/AUTRE (RG-1.29, validateCategoryTypes, ERP-76) * * Audite (#[Auditable]) + Timestampable/Blamable. * @@ -83,6 +87,9 @@ class ClientAddress implements TimestampableInterface, BlamableInterface { use TimestampableBlamableTrait; + /** RG-1.29 : seuls ces types de categorie qualifient une adresse physique. */ + private const array ALLOWED_CATEGORY_TYPES = ['SECTEUR', 'AUTRE']; + #[ORM\Id] #[ORM\GeneratedValue] #[ORM\Column] @@ -130,7 +137,7 @@ class ClientAddress implements TimestampableInterface, BlamableInterface #[Groups(['client_address:read', 'client_address:write'])] private ?string $streetComplement = null; - // RG-1.11 : obligatoire ssi isBilling (CHECK BDD + futur Processor). + // RG-1.11 : obligatoire ssi isBilling (validateBillingEmailPresence + CHECK BDD). #[ORM\Column(length: 180, nullable: true)] #[Assert\Email] #[Groups(['client_address:read', 'client_address:write'])] @@ -158,7 +165,7 @@ class ClientAddress implements TimestampableInterface, BlamableInterface #[Groups(['client_address:read', 'client_address:write'])] private Collection $contacts; - // RG-1.29 : categories de type SECTEUR/AUTRE uniquement (filtre au Processor). + // RG-1.29 : categories de type SECTEUR/AUTRE uniquement (validateCategoryTypes). /** @var Collection */ #[ORM\ManyToMany(targetEntity: CategoryInterface::class)] #[ORM\JoinTable(name: 'client_address_category')] @@ -174,6 +181,69 @@ class ClientAddress implements TimestampableInterface, BlamableInterface $this->categories = new ArrayCollection(); } + /** + * RG-1.06 / RG-1.07 / RG-1.08 : une adresse de prospection est exclusive + * d'une adresse de livraison ou de facturation. Mirror applicatif (422) du + * CHECK chk_client_address_prospect_exclusive, joue avant la base afin de + * remonter une violation Hydra plutot qu'une 500 DBAL. + */ + #[Assert\Callback] + public function validateProspectExclusivity(ExecutionContextInterface $context): void + { + if ($this->isProspect && ($this->isDelivery || $this->isBilling)) { + $context->buildViolation('Une adresse de prospection ne peut pas être une adresse de livraison ni de facturation.') + ->atPath('isProspect') + ->addViolation() + ; + } + } + + /** + * RG-1.11 : l'email de facturation est obligatoire si l'adresse est de + * facturation, et interdit sinon. Mirror applicatif (422) du CHECK + * chk_client_address_billing_email. + */ + #[Assert\Callback] + public function validateBillingEmailPresence(ExecutionContextInterface $context): void + { + if ($this->isBilling && null === $this->billingEmail) { + $context->buildViolation('L\'email de facturation est obligatoire pour une adresse de facturation.') + ->atPath('billingEmail') + ->addViolation() + ; + } + + if (!$this->isBilling && null !== $this->billingEmail) { + $context->buildViolation('L\'email de facturation n\'est autorisé que sur une adresse de facturation.') + ->atPath('billingEmail') + ->addViolation() + ; + } + } + + /** + * RG-1.29 : seules les categories de type SECTEUR / AUTRE qualifient une + * adresse physique. Les types DISTRIBUTEUR / COURTIER decrivent une relation + * entre clients (RG-1.03) et n'ont pas de sens sur une adresse -> 422 avec + * violation sur le champ `categories`. S'appuie sur + * CategoryInterface::getCategoryTypeCode() (pas d'import du module Catalog). + */ + #[Assert\Callback] + public function validateCategoryTypes(ExecutionContextInterface $context): void + { + foreach ($this->categories as $category) { + if ($category instanceof CategoryInterface + && !in_array($category->getCategoryTypeCode(), self::ALLOWED_CATEGORY_TYPES, true)) { + $context->buildViolation('Type de catégorie non autorisé sur une adresse.') + ->atPath('categories') + ->addViolation() + ; + + return; + } + } + } + public function getId(): ?int { return $this->id; diff --git a/tests/Module/Commercial/Api/ClientAddressTest.php b/tests/Module/Commercial/Api/ClientAddressTest.php index cc1578f..621170a 100644 --- a/tests/Module/Commercial/Api/ClientAddressTest.php +++ b/tests/Module/Commercial/Api/ClientAddressTest.php @@ -7,27 +7,22 @@ namespace App\Tests\Module\Commercial\Api; use App\Module\Sites\Domain\Entity\Site; /** - * Tests fonctionnels de l'onglet Adresse — combler les trous (ERP-60). + * Tests fonctionnels de l'onglet Adresse. * * RG-1.09 (code postal) et RG-1.10 (>= 1 site) sont DEJA couverts par * ClientSubResourceApiTest (ERP-57) et ne sont pas reduplique ici. Ce fichier - * cible les contraintes CHECK BDD non encore testees : - * - RG-1.06 / RG-1.07 / RG-1.08 : `chk_client_address_prospect_exclusive` - * (is_prospect exclusif de is_delivery / is_billing) ; - * - RG-1.11 : `chk_client_address_billing_email` (billing_email obligatoire - * ssi is_billing). + * cible : + * - RG-1.06 / RG-1.07 / RG-1.08 : exclusivite is_prospect vs + * is_delivery / is_billing ; + * - RG-1.11 : billing_email obligatoire ssi is_billing ; + * - RG-1.29 : seules les categories de type SECTEUR / AUTRE sont autorisees sur + * une adresse (DISTRIBUTEUR / COURTIER -> 422). * - * Note : ces regles sont portees par des CHECK Postgres (pas d'Assert ni de - * regle Processor au M1). On verifie donc que la combinaison invalide est - * REJETEE par le serveur (statut >= 400), sans coupler le test au code exact : - * une violation CHECK non mappee remonte aujourd'hui en erreur serveur ; un - * mapping fin vers 422 serait une amelioration ulterieure (hors perimetre - * ERP-60, test-only). - * - * RG-1.29 (filtrage du type de categorie SECTEUR/AUTRE sur une adresse) n'est - * PAS testee : la validation d'ecriture correspondante n'est pas implementee - * cote back au M1 (et ne figure pas dans la liste § 8.1). Documentee comme gap - * dans le cahier de test #478. + * Depuis ERP-76, ces regles sont portees par des Assert\Callback sur l'entite + * ClientAddress (mirror applicatif des CHECK Postgres) : la combinaison invalide + * est donc rejetee en 422 AVANT la base, et non plus par une violation CHECK + * remontant en 500. Les CHECK BDD restent en filet de securite (non testes ici, + * inatteignables tant que les validators applicatifs passent en premier). * * @internal */ @@ -37,7 +32,8 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase /** * RG-1.06 / RG-1.07 : une adresse de prospection ne peut pas etre une - * adresse de livraison (CHECK chk_client_address_prospect_exclusive). + * adresse de livraison -> 422 (Assert\Callback, mirror du CHECK + * chk_client_address_prospect_exclusive). */ public function testProspectAddressCannotBeDelivery(): void { @@ -45,7 +41,7 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase $client = $this->createAdminClient(); $seed = $this->seedClient('Prospect Delivery'); - $response = $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ 'headers' => ['Content-Type' => self::LD], 'json' => [ 'isProspect' => true, @@ -57,13 +53,13 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase ], ]); - self::assertGreaterThanOrEqual(400, $response->getStatusCode()); + self::assertResponseStatusCodeSame(422); } /** * RG-1.06 / RG-1.08 : une adresse de prospection ne peut pas etre une - * adresse de facturation (meme CHECK). On fournit billingEmail pour que la - * seule violation possible soit l'exclusivite prospect/billing. + * adresse de facturation -> 422. On fournit billingEmail pour que la seule + * violation possible soit l'exclusivite prospect/billing. */ public function testProspectAddressCannotBeBilling(): void { @@ -71,7 +67,7 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase $client = $this->createAdminClient(); $seed = $this->seedClient('Prospect Billing'); - $response = $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ 'headers' => ['Content-Type' => self::LD], 'json' => [ 'isProspect' => true, @@ -84,12 +80,11 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase ], ]); - self::assertGreaterThanOrEqual(400, $response->getStatusCode()); + self::assertResponseStatusCodeSame(422); } /** - * RG-1.11 : une adresse de facturation exige un billingEmail - * (CHECK chk_client_address_billing_email). + * RG-1.11 : une adresse de facturation exige un billingEmail -> 422. */ public function testBillingAddressRequiresBillingEmail(): void { @@ -97,7 +92,7 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase $client = $this->createAdminClient(); $seed = $this->seedClient('Billing No Email'); - $response = $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ 'headers' => ['Content-Type' => self::LD], 'json' => [ 'isBilling' => true, @@ -108,12 +103,12 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase ], ]); - self::assertGreaterThanOrEqual(400, $response->getStatusCode()); + self::assertResponseStatusCodeSame(422); } /** * RG-1.11 (sens inverse) : une adresse NON facturable ne peut pas porter un - * billingEmail (meme CHECK). + * billingEmail -> 422. */ public function testNonBillingAddressRejectsBillingEmail(): void { @@ -121,7 +116,7 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase $client = $this->createAdminClient(); $seed = $this->seedClient('Non Billing With Email'); - $response = $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ 'headers' => ['Content-Type' => self::LD], 'json' => [ 'isBilling' => false, @@ -133,7 +128,108 @@ final class ClientAddressTest extends AbstractCommercialApiTestCase ], ]); - self::assertGreaterThanOrEqual(400, $response->getStatusCode()); + self::assertResponseStatusCodeSame(422); + } + + /** + * RG-1.29 : poster une categorie de type DISTRIBUTEUR sur une adresse -> 422 + * avec violation sur le champ `categories`. + */ + public function testAddressRejectsDistributorCategory(): void + { + $this->skipIfSitesModuleDisabled(); + $client = $this->createAdminClient(); + $seed = $this->seedClient('Address Distributor Cat'); + $category = $this->createCategory('DISTRIBUTEUR'); + + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + 'headers' => ['Content-Type' => self::LD], + 'json' => [ + 'postalCode' => '86100', + 'city' => 'Châtellerault', + 'street' => '1 rue du Test', + 'sites' => [$this->firstSiteIri()], + 'categories' => ['/api/categories/'.$category->getId()], + ], + ]); + + self::assertResponseStatusCodeSame(422); + self::assertStringContainsString( + 'Type de catégorie non autorisé sur une adresse.', + (string) $client->getResponse()->getContent(false), + ); + } + + /** + * RG-1.29 : poster une categorie de type COURTIER sur une adresse -> 422. + */ + public function testAddressRejectsBrokerCategory(): void + { + $this->skipIfSitesModuleDisabled(); + $client = $this->createAdminClient(); + $seed = $this->seedClient('Address Broker Cat'); + $category = $this->createCategory('COURTIER'); + + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + 'headers' => ['Content-Type' => self::LD], + 'json' => [ + 'postalCode' => '86100', + 'city' => 'Châtellerault', + 'street' => '1 rue du Test', + 'sites' => [$this->firstSiteIri()], + 'categories' => ['/api/categories/'.$category->getId()], + ], + ]); + + self::assertResponseStatusCodeSame(422); + } + + /** + * RG-1.29 : une categorie de type SECTEUR est autorisee sur une adresse. + */ + public function testAddressAcceptsSectorCategory(): void + { + $this->skipIfSitesModuleDisabled(); + $client = $this->createAdminClient(); + $seed = $this->seedClient('Address Sector Cat'); + $category = $this->createCategory('SECTEUR'); + + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + 'headers' => ['Content-Type' => self::LD], + 'json' => [ + 'postalCode' => '86100', + 'city' => 'Châtellerault', + 'street' => '1 rue du Test', + 'sites' => [$this->firstSiteIri()], + 'categories' => ['/api/categories/'.$category->getId()], + ], + ]); + + self::assertResponseStatusCodeSame(201); + } + + /** + * RG-1.29 : une categorie de type AUTRE est autorisee sur une adresse. + */ + public function testAddressAcceptsOtherCategory(): void + { + $this->skipIfSitesModuleDisabled(); + $client = $this->createAdminClient(); + $seed = $this->seedClient('Address Other Cat'); + $category = $this->createCategory('AUTRE'); + + $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [ + 'headers' => ['Content-Type' => self::LD], + 'json' => [ + 'postalCode' => '86100', + 'city' => 'Châtellerault', + 'street' => '1 rue du Test', + 'sites' => [$this->firstSiteIri()], + 'categories' => ['/api/categories/'.$category->getId()], + ], + ]); + + self::assertResponseStatusCodeSame(201); } /**