feat: Gestion des utilisateurs (invitation, blocage, déblocage)

Permet aux administrateurs d'un établissement de gérer le cycle de vie des comptes utilisateurs : inviter de nouveaux membres, bloquer/débloquer des comptes actifs, et renvoyer des invitations en attente. Chaque mutation vérifie l'appartenance au tenant courant pour empêcher les accès cross-tenant. Le blocage est restreint aux comptes actifs uniquement et un administrateur ne peut pas bloquer son propre compte. Les comptes suspendus reçoivent une erreur 403 spécifique au login (sans déclencher l'escalade du rate limiting) et les tentatives sont tracées dans les métriques Prometheus.
2026-02-07 16:44:30 +01:00
parent ff18850a43
commit 4005c70082
58 changed files with 4443 additions and 29 deletions
--- a/frontend/src/lib/auth/auth.svelte.ts
+++ b/frontend/src/lib/auth/auth.svelte.ts
@@ -45,9 +45,10 @@ function parseJwtPayload(token: string): Record<string, unknown> | null {
 function extractUserId(token: string): string | null {
 	const payload = parseJwtPayload(token);
 	if (!payload) return null;
-	// JWT 'sub' claim contains the user ID
-	const sub = payload['sub'];
-	return typeof sub === 'string' ? sub : null;
+	// JWT 'user_id' claim contains the UUID (set by JwtPayloadEnricher)
+	// Note: 'sub' contains the email (Lexik default), not the UUID
+	const userId = payload['user_id'];
+	return typeof userId === 'string' ? userId : null;
 }

 export interface LoginCredentials {
@@ -59,7 +60,7 @@ export interface LoginCredentials {
 export interface LoginResult {
 	success: boolean;
 	error?: {
-		type: 'invalid_credentials' | 'rate_limited' | 'captcha_required' | 'captcha_invalid' | 'unknown';
+		type: 'invalid_credentials' | 'rate_limited' | 'captcha_required' | 'captcha_invalid' | 'account_suspended' | 'unknown';
 		message: string;
 		retryAfter?: number | undefined;
 		delay?: number | undefined;
@@ -132,6 +133,17 @@ export async function login(credentials: LoginCredentials): Promise<LoginResult>
 			};
 		}

+		// Compte suspendu (403)
+		if (response.status === 403 && error.type === '/errors/account-suspended') {
+			return {
+				success: false,
+				error: {
+					type: 'account_suspended',
+					message: error.detail,
+				},
+			};
+		}
+
 		// CAPTCHA invalide (400)
 		if (response.status === 400 && error.type === '/errors/captcha-invalid') {
 			return {
--- a/frontend/src/lib/auth/index.ts
+++ b/frontend/src/lib/auth/index.ts
@@ -5,6 +5,7 @@ export {
 	authenticatedFetch,
 	isAuthenticated,
 	getAccessToken,
+	getCurrentUserId,
 	type LoginCredentials,
 	type LoginResult,
 } from './auth.svelte';
--- a/frontend/src/lib/components/organisms/Dashboard/DashboardAdmin.svelte
+++ b/frontend/src/lib/components/organisms/Dashboard/DashboardAdmin.svelte
@@ -26,11 +26,11 @@
 	<div class="quick-actions">
 		<h2 class="sr-only">Actions de configuration</h2>
 		<div class="action-cards">
-			<div class="action-card disabled" aria-disabled="true">
+			<a class="action-card" href="/admin/users">
 				<span class="action-icon">👥</span>
 				<span class="action-label">Gérer les utilisateurs</span>
-				<span class="action-hint">Bientôt disponible</span>
-			</div>
+				<span class="action-hint">Inviter et gérer</span>
+			</a>
 			<a class="action-card" href="/admin/classes">
 				<span class="action-icon">🏫</span>
 				<span class="action-label">Configurer les classes</span>