feat: Attribution de rôles multiples par utilisateur

Les utilisateurs Classeo étaient limités à un seul rôle, alors que dans la réalité scolaire un directeur peut aussi être enseignant, ou un parent peut avoir un rôle vie scolaire. Cette limitation obligeait à créer des comptes distincts par fonction. Le modèle User supporte désormais plusieurs rôles simultanés avec basculement via le header. L'admin peut attribuer/retirer des rôles depuis l'interface de gestion, avec des garde-fous : pas d'auto- destitution, pas d'escalade de privilèges (seul SUPER_ADMIN peut attribuer SUPER_ADMIN), vérification du statut actif pour le switch de rôle, et TTL explicite sur le cache de rôle actif.
2026-02-10 07:57:43 +01:00
parent 9ccad77bf0
commit e930c505df
93 changed files with 2527 additions and 165 deletions
--- a/backend/src/Administration/Infrastructure/Security/UserVoter.php
+++ b/backend/src/Administration/Infrastructure/Security/UserVoter.php
@@ -30,6 +30,7 @@ final class UserVoter extends Voter
    public const string BLOCK = 'USER_BLOCK';
    public const string UNBLOCK = 'USER_UNBLOCK';
    public const string RESEND_INVITATION = 'USER_RESEND_INVITATION';
+    public const string MANAGE_ROLES = 'USER_MANAGE_ROLES';

    private const array SUPPORTED_ATTRIBUTES = [
        self::VIEW,
@@ -37,6 +38,7 @@ final class UserVoter extends Voter
        self::BLOCK,
        self::UNBLOCK,
        self::RESEND_INVITATION,
+        self::MANAGE_ROLES,
    ];

    #[Override]
@@ -66,7 +68,7 @@ final class UserVoter extends Voter

        return match ($attribute) {
            self::VIEW => $this->canView($roles),
-            self::CREATE, self::BLOCK, self::UNBLOCK, self::RESEND_INVITATION => $this->canManage($roles),
+            self::CREATE, self::BLOCK, self::UNBLOCK, self::RESEND_INVITATION, self::MANAGE_ROLES => $this->canManage($roles),
            default => false,
        };
    }