matthieu
145d4362db
Auto Tag Develop / tag (push) Successful in 7s
## ERP-88 — Sous-ressources M2 (contacts / adresses / ribs) Étape 4/7 du pipeline M2. Dépend de #86 (entités) et #87 (Provider/Processor). Bloque #92. ### Contenu Opérations API Platform + Processors d'écriture des sous-collections du fournisseur (POST/PATCH/DELETE + GET unitaire). **SupplierContactProcessor** - Rattachement au fournisseur parent (404 si absent). - Normalisation serveur RG-2.12 (Title Case nom/prénom, téléphones chiffres seuls, email lowercase). - RG-2.04 : firstName **ou** lastName obligatoire (422 sur `firstName`). - DELETE libre (RG-2.13 front-driven : collection peut rester vide côté back). **SupplierAddressProcessor** - Rattachement au fournisseur parent. - RG-2.05 (CP `^[0-9]{4,5}$`), RG-2.06 (≥1 site), RG-2.09 (type d'adresse) portées par les contraintes d'entité (ERP-86). - RG-2.10 (catégorie de type FOURNISSEUR) ajoutée via `Assert\Callback validateCategoryType` (propertyPath=`categories`). **SupplierRibProcessor** - Rattachement au fournisseur parent. - RG-2.08 : refus du DELETE du dernier RIB quand `paymentType.code = LCR` → **409**. ### Security différenciée | Sous-ressource | Écriture | Lecture | |---|---|---| | contacts / adresses | `commercial.suppliers.manage` | `commercial.suppliers.view` | | ribs | `commercial.suppliers.accounting.manage` | `commercial.suppliers.accounting.view` | POST en `read:false` (parent rattaché manuellement) — parade NonUniqueResult héritée du M1. Messages FR (ERP-107) + `violations[].propertyPath` aligné (ERP-101). ### Vérifications - `make php-cs-fixer-allow-risky` : 0 fichier à corriger - `make test` : 483 tests OK - `debug:router` : 12 routes générées (4 par sous-ressource) ### Hors périmètre (tickets suivants) - Déclaration RBAC `commercial.suppliers.*` dans `CommercialModule` (#7) — sans elle, l'accès reste 403. - Tests fonctionnels de la matrice RG (#8) — dépendent du RBAC + fixtures Supplier. ### Notes de review (non bloquantes, alignées M1) - `position` des sous-collections non exposé à l'API (décision ERP-86, géré serveur). - M2M `SupplierAddress.contacts` non vérifié same-supplier — comportement identique au M1 (ClientAddress), à traiter globalement si besoin. --------- Co-authored-by: Matthieu <contact@malio.fr> Reviewed-on: #67 Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr> Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
189 lines
6.6 KiB
PHP
189 lines
6.6 KiB
PHP
<?php
|
|
|
|
declare(strict_types=1);
|
|
|
|
namespace App\Module\Commercial\Domain\Entity;
|
|
|
|
use ApiPlatform\Metadata\ApiResource;
|
|
use ApiPlatform\Metadata\Delete;
|
|
use ApiPlatform\Metadata\Get;
|
|
use ApiPlatform\Metadata\Link;
|
|
use ApiPlatform\Metadata\Patch;
|
|
use ApiPlatform\Metadata\Post;
|
|
use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierRibProcessor;
|
|
use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierRibRepository;
|
|
use App\Shared\Domain\Attribute\Auditable;
|
|
use App\Shared\Domain\Contract\BlamableInterface;
|
|
use App\Shared\Domain\Contract\TimestampableInterface;
|
|
use App\Shared\Domain\Trait\TimestampableBlamableTrait;
|
|
use Doctrine\ORM\Mapping as ORM;
|
|
use Symfony\Component\Serializer\Attribute\Groups;
|
|
use Symfony\Component\Validator\Constraints as Assert;
|
|
|
|
/**
|
|
* Coordonnees bancaires d'un fournisseur (1:n) — onglet Comptabilite. Au moins un
|
|
* RIB est obligatoire si le type de reglement est LCR (RG-2.08, verifie au
|
|
* Processor : refus du DELETE du dernier RIB sous LCR, ERP-88).
|
|
*
|
|
* Embarque sous `supplier.ribs` UNIQUEMENT si l'user a accounting.view : le
|
|
* read-group est `supplier:read:accounting`, retire du contexte par le
|
|
* SupplierProvider sinon (gating par omission de cle — evite la fuite IBAN/BIC,
|
|
* piege n°4 du M1). Aucun #[AuditIgnore] sur iban/bic : l'audit etant admin-only,
|
|
* la tracabilite RIB est conservee (decision M1 reportee, § 2.7).
|
|
*
|
|
* Sous-ressource API (ERP-88, spec § 4.5) — gating comptable renforce :
|
|
* - POST /api/suppliers/{supplierId}/ribs : creation rattachee au fournisseur
|
|
* parent (Link toProperty 'supplier'), security
|
|
* commercial.suppliers.accounting.manage.
|
|
* - PATCH / DELETE /api/supplier_ribs/{id} : security
|
|
* commercial.suppliers.accounting.manage. Le DELETE refuse la suppression du
|
|
* dernier RIB sous LCR (RG-2.08, 409).
|
|
* - GET /api/supplier_ribs/{id} : lecture unitaire, security
|
|
* commercial.suppliers.accounting.view (donnees bancaires sensibles). Pas de
|
|
* GET collection autonome.
|
|
* Tout passe par le SupplierRibProcessor (RG-2.08 sur DELETE).
|
|
*
|
|
* Validation IBAN/BIC : Assert\Iban + Assert\Bic standard Symfony (pas de controle
|
|
* banque reelle). Audite (#[Auditable]) + Timestampable / Blamable.
|
|
*/
|
|
#[ApiResource(
|
|
operations: [
|
|
new Get(
|
|
security: "is_granted('commercial.suppliers.accounting.view')",
|
|
normalizationContext: ['groups' => ['supplier:read:accounting']],
|
|
),
|
|
new Post(
|
|
uriTemplate: '/suppliers/{supplierId}/ribs',
|
|
uriVariables: [
|
|
'supplierId' => new Link(fromClass: Supplier::class, toProperty: 'supplier'),
|
|
],
|
|
// read:false : pas de stade lecture du parent. Le Link toProperty
|
|
// resoudrait l'enfant (SELECT SupplierRib ... WHERE supplier = :id) et
|
|
// casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
|
|
// manuellement par SupplierRibProcessor::linkParent (404 si absent).
|
|
read: false,
|
|
security: "is_granted('commercial.suppliers.accounting.manage')",
|
|
normalizationContext: ['groups' => ['supplier:read:accounting']],
|
|
denormalizationContext: ['groups' => ['supplier:write:accounting']],
|
|
processor: SupplierRibProcessor::class,
|
|
),
|
|
new Patch(
|
|
security: "is_granted('commercial.suppliers.accounting.manage')",
|
|
normalizationContext: ['groups' => ['supplier:read:accounting']],
|
|
denormalizationContext: ['groups' => ['supplier:write:accounting']],
|
|
processor: SupplierRibProcessor::class,
|
|
),
|
|
new Delete(
|
|
security: "is_granted('commercial.suppliers.accounting.manage')",
|
|
processor: SupplierRibProcessor::class,
|
|
),
|
|
],
|
|
)]
|
|
#[ORM\Entity(repositoryClass: DoctrineSupplierRibRepository::class)]
|
|
#[ORM\Table(name: 'supplier_rib')]
|
|
#[ORM\Index(name: 'idx_supplier_rib_supplier', columns: ['supplier_id'])]
|
|
#[Auditable]
|
|
class SupplierRib implements TimestampableInterface, BlamableInterface
|
|
{
|
|
use TimestampableBlamableTrait;
|
|
|
|
#[ORM\Id]
|
|
#[ORM\GeneratedValue]
|
|
#[ORM\Column]
|
|
#[Groups(['supplier:read:accounting'])]
|
|
private ?int $id = null;
|
|
|
|
#[ORM\ManyToOne(targetEntity: Supplier::class, inversedBy: 'ribs')]
|
|
#[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
|
|
private ?Supplier $supplier = null;
|
|
|
|
#[ORM\Column(length: 120)]
|
|
#[Assert\NotBlank(message: 'Le libellé du RIB est obligatoire.', normalizer: 'trim')]
|
|
#[Assert\Length(max: 120, maxMessage: 'Le libellé ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
|
|
#[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
|
|
private ?string $label = null;
|
|
|
|
// Bic/Iban bornent deja le format (et donc la longueur) : pas de Length
|
|
// redondant calee sur la colonne (auto-exempte du miroir ERP-107).
|
|
#[ORM\Column(length: 20)]
|
|
#[Assert\NotBlank(message: 'Le BIC est obligatoire.', normalizer: 'trim')]
|
|
#[Assert\Bic(message: 'Le BIC n\'est pas valide.')]
|
|
#[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
|
|
private ?string $bic = null;
|
|
|
|
#[ORM\Column(length: 34)]
|
|
#[Assert\NotBlank(message: 'L\'IBAN est obligatoire.', normalizer: 'trim')]
|
|
#[Assert\Iban(message: 'L\'IBAN n\'est pas valide.')]
|
|
#[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
|
|
private ?string $iban = null;
|
|
|
|
// Ordre d'affichage du RIB (gere serveur, non expose au M2).
|
|
#[ORM\Column(options: ['default' => 0])]
|
|
private int $position = 0;
|
|
|
|
public function getId(): ?int
|
|
{
|
|
return $this->id;
|
|
}
|
|
|
|
public function getSupplier(): ?Supplier
|
|
{
|
|
return $this->supplier;
|
|
}
|
|
|
|
public function setSupplier(?Supplier $supplier): static
|
|
{
|
|
$this->supplier = $supplier;
|
|
|
|
return $this;
|
|
}
|
|
|
|
public function getLabel(): ?string
|
|
{
|
|
return $this->label;
|
|
}
|
|
|
|
public function setLabel(string $label): static
|
|
{
|
|
$this->label = $label;
|
|
|
|
return $this;
|
|
}
|
|
|
|
public function getBic(): ?string
|
|
{
|
|
return $this->bic;
|
|
}
|
|
|
|
public function setBic(string $bic): static
|
|
{
|
|
$this->bic = $bic;
|
|
|
|
return $this;
|
|
}
|
|
|
|
public function getIban(): ?string
|
|
{
|
|
return $this->iban;
|
|
}
|
|
|
|
public function setIban(string $iban): static
|
|
{
|
|
$this->iban = $iban;
|
|
|
|
return $this;
|
|
}
|
|
|
|
public function getPosition(): int
|
|
{
|
|
return $this->position;
|
|
}
|
|
|
|
public function setPosition(int $position): static
|
|
{
|
|
$this->position = $position;
|
|
|
|
return $this;
|
|
}
|
|
}
|