MALIO-DEV/Starseed
3
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases Wiki Activity
Files
fc9746df682b772d5faeecdffd275d9a7cb40d92
Starseed/src/Module/Core/Application/Rbac/RbacSeeder.php
T
matthieu 0e3299300f
Auto Tag Develop / tag (push) Successful in 11s
Details
[ERP-74] Seed RBAC idempotent (rôles + matrice § 2.7 + demo users) + RG-1.04 + test matrice (#40) 
## Objectif
Seeder le RBAC métier de façon **rejouable et disponible en recette/prod** (commande applicative, pas fixture `require-dev`), durcir RG-1.04, et écrire le test de matrice (rôles enfin existants).

## A. `RbacSeeder` (Core) — source unique anti-drift
4 rôles (`bureau`/`compta`/`commerciale`/`usine`, isSystem=false), matrice § 2.7 (rôle → permissions) et comptes démo, définis en **un seul endroit**. Méthodes idempotentes `ensureRoles` / `attachMatrix` / `ensureDemoUsers`. `commerciale` référence `BusinessRoles::COMMERCIALE` (déjà consommé par RG-1.04).

## B. Commande `app:seed-rbac` (présente en build prod, idempotente, non destructive)
- Sans option : rôles + matrice § 2.7.
- `--with-demo-users` + `--password=<…>` ou env `RBAC_DEMO_PASSWORD` : 1 compte démo/rôle. **Aucun mot de passe en dur** côté serveur.
- Garde-fou : exit non-zéro + invite à lancer `app:sync-permissions` si les codes `commercial.clients.*` manquent.

## C. Fixture dev/test `RbacDemoFixtures` (DRY)
Appelle le **même seeder** (`ensureRoles` + `ensureDemoUsers`). La matrice est attachée juste après par l'étape `app:seed-rbac` du makefile (la table `permission` est purgée au moment du `fixtures:load`, donc `attachMatrix` ne peut pas tourner pendant le load). `make db-reset` / `test-db-setup` reproduisent l'état de recette.

## Déploiement (documenté README)
Après `migration-migrate` + `app:sync-permissions` : `app:seed-rbac` (prod) ; `app:seed-rbac --with-demo-users --password=…` (recette).

## D. Durcissement RG-1.04
Pour une Commerciale, complétude de l'onglet Information exigée sur **POST + tout PATCH** (suppression de la condition d'intersection). Conséquence : POST Commerciale → 422 (le POST n'expose pas le groupe Information), Admin → 201. Spec § 7 amendée.

## Compta ↔ onglet Comptabilité (§ 2.7)
Pour que `compta PATCH accounting → 200` (exigé par la matrice), la security du `Patch /clients/{id}` est élargie à `manage` **OU** `accounting.manage`, et un nouveau **`guardManage`** (mode strict RG-1.28) interdit à un porteur non-`manage` de modifier les onglets principal/Information (→ 403). Approche validée : élargir la security + guard in-processor (pas de nouvel endpoint).

## E. `ClientRBACMatrixTest`
Matrice § 2.7 complète via les comptes démo seedés (`app:seed-rbac --with-demo-users`) : bureau / compta / commerciale / usine (200/403 par verbe et par onglet) + RG-1.04 (POST Commerciale 422 / Admin 201).

## Tests
`make php-cs-fixer-allow-risky` OK ; `make test` **429 tests verts**. Idempotence vérifiée (rejeu de la commande : 0 rôle / 0 lien / 0 user). `test-db-setup` exécute la nouvelle étape `app:seed-rbac` sans erreur.

Cible : `develop`. Squash merge.
---------

Co-authored-by: Matthieu <contact@malio.fr>
Reviewed-on: #40
Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
2026-06-01 21:06:33 +00:00

219 lines
7.9 KiB
PHP
Raw Blame History

<?php
declare(strict_types=1);
namespace App\Module\Core\Application\Rbac;
use App\Module\Core\Domain\Entity\Role;
use App\Module\Core\Domain\Entity\User;
use App\Module\Core\Domain\Exception\RbacSeedException;
use App\Module\Core\Domain\Repository\PermissionRepositoryInterface;
use App\Module\Core\Domain\Repository\RoleRepositoryInterface;
use App\Module\Core\Domain\Repository\UserRepositoryInterface;
use App\Shared\Domain\Contract\SiteProviderInterface;
use App\Shared\Domain\Security\BusinessRoles;
use Symfony\Component\PasswordHasher\Hasher\UserPasswordHasherInterface;
/**
* Source UNIQUE (anti-drift) du RBAC metier MALIO : les 4 roles
* (bureau / compta / commerciale / usine), la matrice § 2.7 (role -> permissions)
* et les comptes demo par role. Aucun de ces litteraux ne doit etre duplique
* ailleurs (ni SQL en dur, ni autre fixture).
*
* Consomme par :
* - la commande applicative `app:seed-rbac` (presente dans le build prod, donc
* rejouable en recette/prod, contrairement aux fixtures `require-dev`) ;
* - la fixture Core dev/test (DRY : meme seeder).
*
* Toutes les operations sont idempotentes et non destructives :
* - ensureRoles() : cree un role par lookup de code (skip si present) ;
* - attachMatrix() : attache les permissions § 2.7 via la M2M role_permission,
* sans re-attacher un lien existant ; STOP explicite si un code manque ;
* - ensureDemoUsers() : cree un user par role (lookup par username, skip si
* present), rattache au role + a >= 1 site.
*/
final class RbacSeeder
{
/**
* Codes des roles metier (snake_case, regex Role respectee). `commerciale`
* reference la constante Shared deja consommee par le ClientProcessor
* (RG-1.04) pour eviter tout drift : un seul litteral pour ce code.
*/
public const string ROLE_BUREAU = 'bureau';
public const string ROLE_COMPTA = 'compta';
public const string ROLE_COMMERCIALE = BusinessRoles::COMMERCIALE;
public const string ROLE_USINE = 'usine';
/** Site de rattachement par defaut des comptes demo (cf. SitesFixtures). */
private const string DEFAULT_SITE_NAME = 'Chatellerault';
/**
* Definition unique des 4 roles + matrice § 2.7. La cle est le code du role,
* `label` le libelle FR affichable, `permissions` la liste des codes RBAC a
* attacher (vide pour usine : aucun acces ; admin n'apparait pas car il
* bypass tout via isAdmin ; `commercial.clients.archive` n'est attache a
* aucun role metier — admin seul).
*
* @var array<string, array{label: string, permissions: list<string>}>
*/
private const array MATRIX = [
self::ROLE_BUREAU => [
'label' => 'Bureau',
'permissions' => [
'commercial.clients.view',
'commercial.clients.manage',
],
],
self::ROLE_COMPTA => [
'label' => 'Comptabilité',
'permissions' => [
'commercial.clients.view',
'commercial.clients.accounting.view',
'commercial.clients.accounting.manage',
],
],
self::ROLE_COMMERCIALE => [
'label' => 'Commerciale',
'permissions' => [
'commercial.clients.view',
'commercial.clients.manage',
],
],
self::ROLE_USINE => [
'label' => 'Usine',
'permissions' => [],
],
];
public function __construct(
private readonly RoleRepositoryInterface $roleRepository,
private readonly PermissionRepositoryInterface $permissionRepository,
private readonly UserRepositoryInterface $userRepository,
private readonly SiteProviderInterface $siteProvider,
private readonly UserPasswordHasherInterface $passwordHasher,
) {}
/**
* Cree chaque role metier absent (lookup par code). Idempotent.
*
* @return list<string> codes des roles effectivement crees (vide au rejeu)
*/
public function ensureRoles(): array
{
$created = [];
foreach (self::MATRIX as $code => $definition) {
if (null !== $this->roleRepository->findByCode($code)) {
continue;
}
// isSystem=false : ce sont des roles metier, supprimables par un
// admin (contrairement aux roles systeme admin/user).
$this->roleRepository->save(new Role($code, $definition['label'], isSystem: false));
$created[] = $code;
}
return $created;
}
/**
* Attache la matrice § 2.7 a chaque role via la M2M role_permission. Lookup
* de la permission par code ; un code absent leve une RbacSeedException
* (garde-fou : `app:sync-permissions` doit avoir tourne). Idempotent : un
* lien deja present n'est pas recree.
*
* @return int nombre de liens role->permission effectivement ajoutes (0 au rejeu)
*
* @throws RbacSeedException si un role ou une permission de la matrice manque
*/
public function attachMatrix(): int
{
$added = 0;
foreach (self::MATRIX as $code => $definition) {
$role = $this->roleRepository->findByCode($code);
if (null === $role) {
throw RbacSeedException::missingRole($code);
}
$touched = false;
foreach ($definition['permissions'] as $permissionCode) {
$permission = $this->permissionRepository->findByCode($permissionCode);
if (null === $permission) {
throw RbacSeedException::missingPermission($permissionCode);
}
if (!$role->getPermissions()->contains($permission)) {
$role->addPermission($permission);
$touched = true;
++$added;
}
}
// Un seul flush par role, et seulement si un lien a change.
if ($touched) {
$this->roleRepository->save($role);
}
}
return $added;
}
/**
* Cree un compte demo par role metier (username = code du role), non-admin,
* mot de passe hashe, rattache a son role et a >= 1 site. Lookup par
* username : idempotent (un compte existant est laisse intact, mot de passe
* inchange).
*
* @return list<string> usernames effectivement crees (vide au rejeu)
*
* @throws RbacSeedException si un role metier attendu est absent (ensureRoles non joue)
*/
public function ensureDemoUsers(string $password): array
{
// Rattachement a un site par defaut s'il existe (les flux login / me en
// ont besoin ; le repertoire clients n'est pas site-scope mais on reste
// coherent avec les fixtures admin/alice/bob).
$defaultSite = $this->siteProvider->findByName(self::DEFAULT_SITE_NAME);
$created = [];
foreach (array_keys(self::MATRIX) as $code) {
$username = $code;
if (null !== $this->userRepository->findByUsername($username)) {
continue;
}
$role = $this->roleRepository->findByCode($code);
if (null === $role) {
throw RbacSeedException::missingRole($code);
}
$user = new User();
$user->setUsername($username);
$user->setIsAdmin(false);
$user->setPassword($this->passwordHasher->hashPassword($user, $password));
$user->addRbacRole($role);
if (null !== $defaultSite) {
$user->addSite($defaultSite);
$user->setCurrentSite($defaultSite);
}
$this->userRepository->save($user);
$created[] = $username;
}
return $created;
}
/**
* Liste des codes des roles metier definis (pour reporting / tests).
*
* @return list<string>
*/
public static function roleCodes(): array
{
return array_keys(self::MATRIX);
}
}
Reference in New Issue View Git Blame Copy Permalink