Starseed

MALIO-DEV/Starseed

Fork 0

Commit Graph

Author	SHA1	Message	Date
tristan	d21025067a	fix(rbac) : usine peut lire les listes client/fournisseur pour le select de contrepartie pesée (ERP-209) Pull Request — Quality gate / Frontend (lint + Vitest + build) (pull_request) Successful in 1m36s Details Pull Request — Quality gate / Backend (PHP CS + PHPUnit) (pull_request) Successful in 5m34s Details Problème : connecté en usine (usine17/82/86), les déroulants Client/Fournisseur du ticket de pesée sortent vides. Cause = 403 : le rôle usine n'a pas `commercial.clients.view`/`suppliers.view`, et le composable contrepartie (résilient au 403) laisse les selects vides. Ce n'est PAS le filtre site (ERP-208). Fix (permission dédiée « référentiel », ne fuit pas le répertoire) : - CommercialModule : nouvelles permissions `commercial.clients.read_ref` et `commercial.suppliers.read_ref` (lecture de la LISTE pour alimenter un select). - Client/Supplier GetCollection : security `view OR read_ref`. Seule la collection s'ouvre ; item Get, POST et PATCH restent gardés par `view`/`manage`. La sidebar répertoire reste gardée par `view` → usine ne voit pas le répertoire. - RbacSeeder (rôle Usine) : ajout des 2 read_ref. - Miroirs RBAC (règle ABSOLUE n°8) : personas.ts (user-full) + SeedE2ECommand alignés. - Tests : testUsineIsForbiddenEverywhere → testUsineCanReadListButNothingElse (200 sur la liste, 403 sur détail/création/édition) pour Client et Supplier ; l'assertion categories/sites confirme que read_ref ne couvre QUE clients/suppliers. Déploiement : jouer `app:sync-permissions` puis `app:seed-rbac`. Si usine17/82/86 utilisent des rôles custom (pas le rôle « usine » standard), leur ajouter les 2 permissions read_ref à la main. RETOUR ARRIÈRE MÉTIER (si l'usine ne doit PAS voir les tiers) : retirer les 2 read_ref de RbacSeeder ROLE_USINE + de CommercialModule + le `or ...read_ref` des GetCollection Client/Supplier, puis sync-permissions + seed-rbac. Restaurer aussi les tests testUsineIsForbiddenEverywhere (403 partout). Note : une fois le 403 levé, la liste reste filtrée sur le site courant (ERP-208) ; si aucun tiers n'a d'adresse sur le site usine, le select peut rester vide — point de données/sémantique distinct, à arbitrer séparément.	2026-06-29 12:00:57 +02:00
tristan	d6790dd37d	feat(front) : page Ajouter un fournisseur (/suppliers/new) + workflow par onglets (ERP-94) (#83 ) Auto Tag Develop / tag (push) Successful in 7s Details ERP-94 (etape front 7/7 du M2). Stack sur #97 (base = `feature/ERP-97-suppliers-i18n-sidebar`, elle-meme sur #93) pour un diff isole. A recibler sur `develop` une fois #93 (MR #81) et #97 (MR #82) mergees. Page « Ajouter un fournisseur » — replique a l'identique le fonctionnement de l'ecran Client (workflow inline par onglets, blocs reutilisables, validation 422 inline ERP-101), avec les specificites M2. ## Architecture (miroir Client) - Workflow par onglets inline dans `suppliers/new.vue` (comme `clients/new.vue` — il n'existe pas de `useClientForm` monolithique). Helpers paralleles : `useSupplierReferentials`, `useSupplierFormErrors`, `supplierFormRules`, `supplierEdit` (payloads), `types/supplierForm`. - Blocs `SupplierContactBlock` / `SupplierAddressBlock` (miroir des blocs Client). - POST `/suppliers` puis PATCH partiels par onglet (mode strict, groupes de serialisation). Sous-ressources : `/suppliers/{id}/contacts\|addresses\|ribs`. - Validation ERP-101 : 422 `violations[].propertyPath` mappees inline par champ (`useFormErrors` / `mapViolationsToRecord`), `{ toast: false }`, bouton Valider toujours actif. ## Specificites M2 (vs M1) - Formulaire principal sans contact inline (ERP-106) : Entreprise + Categorie (type FOURNISSEUR, `?typeCode=FOURNISSEUR`). - Adresse : radio exclusif Prospect/Depart/Rendu (`addressType` enum, RG-2.09), champs Bennes (stepper) + Prestation de triage, pas d'email de facturation. - Information : champ Volume previsionnel (8e champ). - Compta (Admin+Compta) : banque si VIREMENT (RG-2.07), RIB si LCR (RG-2.08) ; RIB sous-ressource gardee par `accounting.manage`. ## Tests (mirroir strategie Client) - `make nuxt-test` : 338 passed (specs ajoutees : supplierFormRules, supplierEdit, useSupplierReferentials, SupplierContactBlock, SupplierAddressBlock). - ESLint propre ; `nuxi typecheck` (lance en container) : 0 erreur. - Golden path navigateur valide end-to-end : POST /suppliers OK, companyName normalise UPPERCASE (RG-2.12), gating des onglets (Information actif, Contacts deverrouille). ## Note de revue ~30 `WARN Duplicated imports` au typecheck : les helpers Supplier exportent les memes noms generiques que leurs equivalents Client (`buildMainPayload`, `omitEmptyRequired`, `RefOption`...), tous deux auto-importes par Nuxt. Sans impact runtime : tous les consommateurs utilisent des imports explicites (qui priment). Consequence directe du miroir 1:1 ; une factorisation des generiques dans `shared/` pourrait etre un suivi. Reviewed-on: #83 Co-authored-by: tristan <tristan@yuno.malio.fr> Co-committed-by: tristan <tristan@yuno.malio.fr>	2026-06-11 07:14:51 +00:00
matthieu	6f9bb68170	test(commercial) : tests PHPUnit M2 fournisseurs (matrice RG + contrat sérialisation + DoD JSON réel) (ERP-92) (#71 ) Auto Tag Develop / tag (push) Successful in 7s Details ## ERP-92 — Tests PHPUnit M2 fournisseurs (#521) Suite fonctionnelle M2 assertant sur le corps JSON (jamais les annotations), jumelle de la suite clients M1. ### Couverture - Contrat de sérialisation (`SupplierSerializationContractTest`) : 4 régressions M1 re-testées — RIB gaté absent pour la Commerciale, booléens `triageProvider`/`isArchived` présents, embed `categories[].code/name`, embed `sites[].name/postalCode` (objet, pas IRI) — + enveloppe AP4 (`member`/`totalItems`/`view`, archivés exclus) + suppression du contact inline. - Matrice RBAC réelle (`app:seed-rbac`, pas de mock) : bureau/compta/commerciale/usine 200/403, gating `accounting` par omission de clé, mode strict PATCH (RG-2.16). - Matrice RG-2.03 → RG-2.17 (création, normalisation RG-2.12, catégorie FOURNISSEUR RG-2.10, unicité RG-2.11, archivage RG-2.14/2.15, RG-2.07/2.08 compta, sous-ressources RG-2.04/2.05/2.06/2.09). - Anti N+1 liste : nombre de requêtes constant entre 2 et 4 fournisseurs. Audit Supplier + RIB (`iban`/`bic` dans le diff). ### Fix de contrat (découvert par la DoD) Les référentiels comptables (`TvaMode`/`PaymentType`/`PaymentDelay`/`Bank`) ne portaient que `client:read:accounting` (M1) → sur un fournisseur ils sortaient en IRI nu. Ajout de `supplier:read:accounting` → objet `{id, code, label}` embarqué (additif, zéro impact M1). Sans ce fix, #95/#96 auraient été développés contre un contrat faux. ### Infra `makefile` : `test-db-setup` recrée l'index partiel `uq_supplier_company_name_active` (droppé par `schema:update` comme celui du client — oubli M2). ### DoD ✅ § 4.0.bis : réponses JSON réelles (liste + détail admin/commerciale) collées. Front #93→#96 peuvent démarrer. ### Vérifs - `make test` : 574 tests OK (suite complète verte) - `make php-cs-fixer-allow-risky` : 0 correction --------- Co-authored-by: Matthieu <contact@malio.fr> Reviewed-on: #71 Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr> Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>	2026-06-08 07:49:17 +00:00

Author

SHA1

Message

Date

tristan

d21025067a

fix(rbac) : usine peut lire les listes client/fournisseur pour le select de contrepartie pesée (ERP-209)

Pull Request — Quality gate / Frontend (lint + Vitest + build) (pull_request) Successful in 1m36s

Details

Pull Request — Quality gate / Backend (PHP CS + PHPUnit) (pull_request) Successful in 5m34s

Details

Problème : connecté en usine (usine17/82/86), les déroulants Client/Fournisseur
du ticket de pesée sortent vides. Cause = 403 : le rôle usine n'a pas
`commercial.clients.view`/`suppliers.view`, et le composable contrepartie (résilient
au 403) laisse les selects vides. Ce n'est PAS le filtre site (ERP-208).

Fix (permission dédiée « référentiel », ne fuit pas le répertoire) :
- CommercialModule : nouvelles permissions `commercial.clients.read_ref` et
  `commercial.suppliers.read_ref` (lecture de la LISTE pour alimenter un select).
- Client/Supplier GetCollection : security `view OR read_ref`. Seule la collection
  s'ouvre ; item Get, POST et PATCH restent gardés par `view`/`manage`. La sidebar
  répertoire reste gardée par `view` → usine ne voit pas le répertoire.
- RbacSeeder (rôle Usine) : ajout des 2 read_ref.
- Miroirs RBAC (règle ABSOLUE n°8) : personas.ts (user-full) + SeedE2ECommand alignés.
- Tests : testUsineIsForbiddenEverywhere → testUsineCanReadListButNothingElse
  (200 sur la liste, 403 sur détail/création/édition) pour Client et Supplier ;
  l'assertion categories/sites confirme que read_ref ne couvre QUE clients/suppliers.

Déploiement : jouer `app:sync-permissions` puis `app:seed-rbac`. Si usine17/82/86
utilisent des rôles custom (pas le rôle « usine » standard), leur ajouter les 2
permissions read_ref à la main.

RETOUR ARRIÈRE MÉTIER (si l'usine ne doit PAS voir les tiers) : retirer les 2
read_ref de RbacSeeder ROLE_USINE + de CommercialModule + le `or ...read_ref` des
GetCollection Client/Supplier, puis sync-permissions + seed-rbac. Restaurer aussi
les tests testUsineIsForbiddenEverywhere (403 partout).

Note : une fois le 403 levé, la liste reste filtrée sur le site courant (ERP-208) ;
si aucun tiers n'a d'adresse sur le site usine, le select peut rester vide — point
de données/sémantique distinct, à arbitrer séparément.

2026-06-29 12:00:57 +02:00

tristan

d6790dd37d

feat(front) : page Ajouter un fournisseur (/suppliers/new) + workflow par onglets (ERP-94) (#83 )

Auto Tag Develop / tag (push) Successful in 7s

Details

ERP-94 (etape front 7/7 du M2). **Stack sur #97** (base = `feature/ERP-97-suppliers-i18n-sidebar`, elle-meme sur #93) pour un diff isole. A recibler sur `develop` une fois #93 (MR #81) et #97 (MR #82) mergees.

Page « Ajouter un fournisseur » — **replique a l'identique le fonctionnement de l'ecran Client** (workflow inline par onglets, blocs reutilisables, validation 422 inline ERP-101), avec les specificites M2.

## Architecture (miroir Client)
- Workflow par onglets **inline dans `suppliers/new.vue`** (comme `clients/new.vue` — il n'existe pas de `useClientForm` monolithique). Helpers paralleles : `useSupplierReferentials`, `useSupplierFormErrors`, `supplierFormRules`, `supplierEdit` (payloads), `types/supplierForm`.
- Blocs `SupplierContactBlock` / `SupplierAddressBlock` (miroir des blocs Client).
- POST `/suppliers` puis PATCH partiels par onglet (mode strict, groupes de serialisation). Sous-ressources : `/suppliers/{id}/contacts|addresses|ribs`.
- Validation ERP-101 : 422 `violations[].propertyPath` mappees inline par champ (`useFormErrors` / `mapViolationsToRecord`), `{ toast: false }`, bouton Valider toujours actif.

## Specificites M2 (vs M1)
- Formulaire principal **sans contact inline** (ERP-106) : Entreprise + Categorie (type FOURNISSEUR, `?typeCode=FOURNISSEUR`).
- Adresse : **radio exclusif** Prospect/Depart/Rendu (`addressType` enum, RG-2.09), champs **Bennes** (stepper) + **Prestation de triage**, **pas d'email de facturation**.
- Information : champ **Volume previsionnel** (8e champ).
- Compta (Admin+Compta) : banque si VIREMENT (RG-2.07), RIB si LCR (RG-2.08) ; RIB sous-ressource gardee par `accounting.manage`.

## Tests (mirroir strategie Client)
- `make nuxt-test` : 338 passed (specs ajoutees : supplierFormRules, supplierEdit, useSupplierReferentials, SupplierContactBlock, SupplierAddressBlock).
- ESLint propre ; `nuxi typecheck` (lance en container) : **0 erreur**.
- Golden path navigateur valide end-to-end : POST /suppliers OK, companyName normalise UPPERCASE (RG-2.12), gating des onglets (Information actif, Contacts deverrouille).

## Note de revue
~30 `WARN Duplicated imports` au typecheck : les helpers Supplier exportent les memes noms generiques que leurs equivalents Client (`buildMainPayload`, `omitEmptyRequired`, `RefOption`...), tous deux auto-importes par Nuxt. **Sans impact runtime** : tous les consommateurs utilisent des imports explicites (qui priment). Consequence directe du miroir 1:1 ; une factorisation des generiques dans `shared/` pourrait etre un suivi.

Reviewed-on: #83
Co-authored-by: tristan <tristan@yuno.malio.fr>
Co-committed-by: tristan <tristan@yuno.malio.fr>

2026-06-11 07:14:51 +00:00

matthieu

6f9bb68170

test(commercial) : tests PHPUnit M2 fournisseurs (matrice RG + contrat sérialisation + DoD JSON réel) (ERP-92) (#71 )

Auto Tag Develop / tag (push) Successful in 7s

Details

## ERP-92 — Tests PHPUnit M2 fournisseurs (#521)

Suite fonctionnelle M2 assertant sur le **corps JSON** (jamais les annotations), jumelle de la suite clients M1.

### Couverture
- **Contrat de sérialisation** (`SupplierSerializationContractTest`) : 4 régressions M1 re-testées — RIB gaté **absent** pour la Commerciale, booléens `triageProvider`/`isArchived` présents, embed `categories[].code/name`, embed `sites[].name/postalCode` (objet, pas IRI) — + enveloppe AP4 (`member`/`totalItems`/`view`, archivés exclus) + suppression du contact inline.
- **Matrice RBAC réelle** (`app:seed-rbac`, pas de mock) : bureau/compta/commerciale/usine 200/403, gating `accounting` par **omission de clé**, mode strict PATCH (RG-2.16).
- **Matrice RG-2.03 → RG-2.17** (création, normalisation RG-2.12, catégorie FOURNISSEUR RG-2.10, unicité RG-2.11, archivage RG-2.14/2.15, RG-2.07/2.08 compta, sous-ressources RG-2.04/2.05/2.06/2.09).
- **Anti N+1 liste** : nombre de requêtes constant entre 2 et 4 fournisseurs. **Audit** Supplier + RIB (`iban`/`bic` dans le diff).

### Fix de contrat (découvert par la DoD)
Les référentiels comptables (`TvaMode`/`PaymentType`/`PaymentDelay`/`Bank`) ne portaient que `client:read:accounting` (M1) → sur un fournisseur ils sortaient en **IRI nu**. Ajout de `supplier:read:accounting` → objet `{id, code, label}` embarqué (additif, zéro impact M1). Sans ce fix, #95/#96 auraient été développés contre un contrat faux.

### Infra
`makefile` : `test-db-setup` recrée l'index partiel `uq_supplier_company_name_active` (droppé par `schema:update` comme celui du client — oubli M2).

### DoD ✅
§ 4.0.bis : réponses JSON **réelles** (liste + détail admin/commerciale) collées. Front #93→#96 peuvent démarrer.

### Vérifs
- `make test` : **574 tests OK** (suite complète verte)
- `make php-cs-fixer-allow-risky` : 0 correction

---------

Co-authored-by: Matthieu <contact@malio.fr>
Reviewed-on: #71
Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>

2026-06-08 07:49:17 +00:00

3 Commits