MALIO-DEV/Starseed
3
0
Fork 0
Code Issues Pull Requests 3 Actions Packages Projects Releases Wiki Activity
Files
d62629f754641ede099ac65867808070f73efe33
Starseed/config/sidebar.php
T
matthieu fceb1e0e83
Auto Tag Develop / tag (push) Successful in 10s
Details
[ERP-47] Déclarer le module Catalog et synchroniser RBAC (#19) 
## Contexte

Ticket Lesstime #47 — M0 position 0.5. Wire le nouveau module **Catalog** dans Starseed et synchronise les 3 sources RBAC (sidebar + personas E2E + seed back). Couvre **RG-1.01** (Admin uniquement) côté infra.

Spec : [`docs/specs/M0-categories/spec-back.md` § 5.1 + § 5.3](https://gitea.malio.fr/MALIO-DEV/Starseed/src/branch/feature/M0-spec-categories/docs/specs/M0-categories/spec-back.md).

> ⚠ **Mode stacked PR** — cible `feature/ERP-46-exposer-category-type-lecture-seule`, **PAS** `develop`. Quand la MR ERP-46 sera mergée sur develop, repointer la cible de cette MR vers develop.

## Modifications (6 fichiers — règle ABSOLUE Starseed n°8 : les 3 sources RBAC bougent ENSEMBLE)

| Fichier | Rôle |
|---|---|
| `src/Module/Catalog/CatalogModule.php` (nouveau) | Déclaration du module : `ID=catalog`, `LABEL=Catalogue`, `REQUIRED=true`, 2 permissions (`view` + `manage`) |
| `config/modules.php` | Wire `CatalogModule::class` |
| `config/sidebar.php` | Item « Gestion des catégories » dans section Administration, gate sur `catalog.categories.view` |
| `frontend/i18n/locales/fr.json` | Clé `sidebar.catalog.categories` = `Gestion des catégories` |
| `frontend/tests/e2e/_fixtures/personas.ts` | `user-full` reçoit les 2 permissions + `'categories'` dans `expectedAdminLinks`. `super-admin` et `ALL_ADMIN_LINKS` étendus avec `'categories'`. `user-readonly` inchangé (Admin-only au M0 — pas de mode read-only spec'é). |
| `src/Module/Core/Infrastructure/Console/SeedE2ECommand.php` | Miroir back : `user-full` reçoit les 2 permissions |

## Décisions

- **`REQUIRED = true`** : la spec § 5.1 + le prompt user disent `true` (Category sera FK NOT NULL côté futurs modules Tiers). Le ticket Lesstime dit `false` par erreur — j'ai suivi la spec.
- **Personas E2E « Admin » = `user-full`** : pas de persona métier « Admin » explicite dans `personas.ts` (personas techniques : `super-admin` bypass, `user-full` = toutes permissions). `user-full` est l'équivalent fonctionnel.
- **`user-readonly` NON touché** : RG-1.01 dit « Admin uniquement », pas de pattern read-only spec'é au M0. À rouvrir dans un futur ticket si besoin.

## Validation

- `make php-cs-fixer-allow-risky` ✓ (0 fichier corrigé)
- `make db-reset` ✓ (sync-permissions : 11 codes en base, dont les 2 nouveaux `catalog.categories.*` vérifiés via `dbal:run-sql`)
- `make test` ✓ (248 tests, 0 régression)
- **RG-1.01 vérifiée manuellement** via curl :
  - Admin → 200 sur `GET /api/categories` et `GET /api/category_types`
  - Bob (zéro permission) → 403 sur `GET /api/categories`, `POST /api/categories`, `GET /api/category_types`
  - Anonyme → 401 sur `GET /api/categories`

---------

Co-authored-by: Matthieu <mtholot19@gmail.com>
Reviewed-on: #19
Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
2026-05-28 09:45:33 +00:00

136 lines
5.6 KiB
PHP
Raw Blame History

<?php
declare(strict_types=1);
/*
* Sidebar configuration.
*
* This file defines the sidebar sections displayed in the frontend.
*
* Each SECTION may declare :
* - `label` (required) : i18n key resolved by the frontend
* - `icon` (required) : MDI icon name
* - `items` (required) : list of items (see below)
* - `permission` (opt.) : RBAC permission code ; when set, the whole
* section (and every one of its items) is hidden
* from users who do not hold that permission.
* Use this for "umbrella" sections like
* Administration where you want to gate the
* entire group behind one coarse permission.
*
* Each ITEM may declare :
* - `label` (required) : i18n key
* - `to` (required) : Nuxt route
* - `icon` (required) : MDI icon name
* - `module` (required) : owner module ID ; item is hidden if the
* module is not listed in config/modules.php
* - `permission` (opt.) : RBAC permission code ; finer-grained gate
* applied in addition to the section-level one
*
* Precedence : section-level `permission` is evaluated first. If it fails,
* the whole section is skipped and every item's `to` is added to the
* `disabledRoutes` payload of /api/sidebar (so the front middleware can
* redirect any direct navigation). Individual items without their own
* permission are implicitly protected by the section-level one.
*
* This config is decoupled from the modules themselves: you can freely
* move an item from one section to another without touching the module code.
*/
return [
// Section "Administration" : regroupe toutes les pages de configuration
// applicative (RBAC, users, sites, audit log).
//
// CONVENTION : "etre admin" = detenir au moins une permission admin-scoped.
// En pratique, le groupe `core.*` represente l'administration applicative
// (users, roles, audit_log) ; les autres permissions admin-scoped proviennent
// des modules qui exposent leur propre page d'admin dans cette section
// (ex: `sites.view`). Un user qui n'a AUCUNE de ces permissions n'a pas
// acces a l'administration.
//
// Gate implicite : tous les items de cette section declarent une `permission`.
// Sans aucune permission correspondante, tous les items sont filtres, la
// section devient vide et est automatiquement masquee par SidebarProvider
// (cf. la boucle de filtrage : section vide => `continue`). Inutile donc
// d'ajouter un gate explicite au niveau section tant que chaque item porte
// sa propre permission.
//
// Pour imposer un gate explicite supplementaire (ex: "seuls les membres du
// groupe support voient l'administration, meme s'ils ont des permissions
// individuelles"), ajouter : 'permission' => 'core.admin.access'.
[
'label' => 'sidebar.administration.section',
'icon' => 'mdi:cog-outline',
'items' => [
[
'label' => 'sidebar.core.roles',
'to' => '/admin/roles',
'icon' => 'mdi:shield-account-outline',
'module' => 'core',
'permission' => 'core.roles.view',
],
[
'label' => 'sidebar.core.users',
'to' => '/admin/users',
'icon' => 'mdi:account-group-outline',
'module' => 'core',
'permission' => 'core.users.view',
],
[
'label' => 'sidebar.sites.admin',
'to' => '/admin/sites',
'icon' => 'mdi:domain',
'module' => 'sites',
'permission' => 'sites.view',
],
[
'label' => 'sidebar.catalog.categories',
'to' => '/admin/categories',
'icon' => 'mdi:tag-multiple-outline',
'module' => 'catalog',
'permission' => 'catalog.categories.view',
],
[
'label' => 'sidebar.core.audit_log',
'to' => '/admin/audit-log',
'icon' => 'mdi:clipboard-text-clock',
'module' => 'core',
'permission' => 'core.audit_log.view',
],
],
],
[
'label' => 'sidebar.commercial.section',
'icon' => 'mdi:account-arrow-left-outline',
'items' => [
[
'label' => 'sidebar.commercial.suppliers',
'to' => '/suppliers',
'icon' => 'mdi:account-arrow-left-outline',
'module' => 'commercial',
],
],
],
// Section "Mon compte" : espace personnel. Accessible a tout user authentifie
// (aucune permission RBAC requise, tous les items restent dans `core` pour
// rester toujours presents meme quand les modules metier sont desactives).
[
'label' => 'sidebar.account.section',
'icon' => 'mdi:account-circle-outline',
'items' => [
[
'label' => 'sidebar.account.dashboard',
'to' => '/',
'icon' => 'mdi:view-dashboard-outline',
'module' => 'core',
],
[
'label' => 'sidebar.account.logout',
'to' => '/logout',
'icon' => 'mdi:logout',
'module' => 'core',
],
],
],
];
Reference in New Issue View Git Blame Copy Permalink