feat(auth): Phase 1d — backend role enforcement для workflow
User explicitly requested 'Phase 1d пора'. До этого MR'а backend гейтил только maker-checker (self_approve_forbidden), frontend hooks возвращали auth.isAuthenticated. Реализация: Backend WorkflowRoles (ordinis-rest-api/auth/WorkflowRoles.java): - Component reads realm_access.roles из JWT claim - Constants: ordinis:approver (decide/approve/reject), ordinis:publisher (publish) - requireRole(role) throws 403 forbidden_role если missing - Defensive parse: malformed/missing realm_access → empty roles - 9 unit tests cover authenticated + anonymous + malformed JWT Applied gates: - SchemaDraftService.decide() — require ordinis:approver - SchemaDraftService.publish() — require ordinis:publisher - DraftService.approve() — require ordinis:approver - DraftService.reject() — require ordinis:approver WorkflowRoles is Optional в test ctors → unit tests без auth setup не ломаются. Все existing tests должны проходить (legacy ctor overloads сохранены). Frontend usePermissions.ts: - Stub return auth.isAuthenticated заменён на real role decode из auth.user.profile.realm_access.roles - ROLE_APPROVER + ROLE_PUBLISHER constants exported - Defensive parsing — graceful с missing/malformed claims - useCanCreateSchemaDraft остаётся permissive (любой auth — maker'ом может быть anyone, scope ACL заведует видимостью) Naming convention — colon-separated (consistent с ordinis:client:* scope ролями), aligned с MR !161. MIGRATION (BREAKING без правильной Keycloak setup): 1. Keycloak realm 'nstart' → Realm Roles → Create: - ordinis:approver - ordinis:publisher 2. Users → assign roles: - reviewer/approver users → ordinis:approver - publisher users → ordinis:approver + ordinis:publisher 3. После refresh JWT (logout/login) роли появляются в realm_access.roles Без этого все decide/publish операции вернут 403 forbidden_role.
This commit is contained in:
@@ -1,56 +1,69 @@
|
||||
import { useAuth } from 'react-oidc-context'
|
||||
|
||||
/**
|
||||
* Permission helpers для schema workflow. Phase 1c — stub: проверяем
|
||||
* только что пользователь authenticated (любой logged-in юзер может
|
||||
* approve/publish). Backend всё равно отрежет:
|
||||
* Permission helpers для schema + record workflow. Phase 1d — **ACTIVE**:
|
||||
* читает {@code realm_access.roles} из JWT и гейтит actions.
|
||||
*
|
||||
* <p>Naming convention: colon-separated namespace
|
||||
* {@code ordinis:<domain>:<action>} consistent с scope ACL ролями
|
||||
* ({@code ordinis:client:public}). Backend parser в
|
||||
* {@code ScopeContext.java} / {@code WorkflowRoles.java}.
|
||||
*
|
||||
* <p>Backend enforcement (см. {@code WorkflowRoles}):
|
||||
* <ul>
|
||||
* <li>{@code 403 self_approve_forbidden} — если maker == reviewer.</li>
|
||||
* <li>{@code 403 forbidden_role} — когда Keycloak roles прорастут и
|
||||
* backend начнёт проверять realm-роли (placeholder).</li>
|
||||
* <li>{@code 403 forbidden_role} — actor не имеет требуемой realm role.</li>
|
||||
* <li>{@code 403 self_approve_forbidden} — actor == maker (maker-checker).</li>
|
||||
* </ul>
|
||||
*
|
||||
* <p>Phase 1d: подключим decode JWT → realm_access.roles, и эти hook'и
|
||||
* начнут возвращать false для users без {@code ordinis:schema:reviewer}
|
||||
* / {@code ordinis:schema:publisher} ролей. UI hide'ит соответствующие
|
||||
* кнопки.
|
||||
* <p>Frontend hide'ит соответствующие кнопки на UI level для UX, backend
|
||||
* гейт остаётся primary defence. Если user имеет роль в Keycloak —
|
||||
* кнопки видны и действия пройдут backend; если не имеет — кнопки скрыты,
|
||||
* backend всё равно 403'нет на прямой API call.
|
||||
*
|
||||
* <p><b>Naming convention:</b> roles используют colon-separated namespace
|
||||
* pattern {@code ordinis:<domain>:<action>} (как Altum-style scope roles
|
||||
* вида {@code ordinis:client:restricted}). Совпадает с realm role parser
|
||||
* в {@code ScopeContext.java}. Dash-форма ({@code ordinis-schema-reviewer})
|
||||
* НЕ используется в этом проекте — colon-стиль consistent с уже-existing
|
||||
* scope ролями ({@code ordinis:client:public|internal|restricted}).
|
||||
*
|
||||
* <p>До тех пор все logged-in юзеры могут жать любые workflow buttons —
|
||||
* backend гейт остаётся primary defence.
|
||||
* <p><b>Migration note (Phase 1d enforcement):</b> Keycloak realm `nstart`
|
||||
* должен иметь созданные роли {@code ordinis:approver} и
|
||||
* {@code ordinis:publisher}, и actual reviewer-users должны их получить.
|
||||
* До этого все decide / publish операции вернут {@code 403 forbidden_role}.
|
||||
*/
|
||||
|
||||
const ROLE_SCHEMA_REVIEWER = 'ordinis:schema:reviewer'
|
||||
const ROLE_SCHEMA_PUBLISHER = 'ordinis:schema:publisher'
|
||||
const ROLE_SCHEMA_MAKER = 'ordinis:schema:maker'
|
||||
export const ROLE_APPROVER = 'ordinis:approver'
|
||||
export const ROLE_PUBLISHER = 'ordinis:publisher'
|
||||
|
||||
/** Может ли актор approve / request_changes / reject schema draft. */
|
||||
/** Достаёт realm roles из JWT (Keycloak claim path: realm_access.roles). */
|
||||
function realmRoles(profile: unknown): string[] {
|
||||
if (!profile || typeof profile !== 'object') return []
|
||||
const realmAccess = (profile as { realm_access?: { roles?: unknown } }).realm_access
|
||||
if (!realmAccess || typeof realmAccess !== 'object') return []
|
||||
const roles = (realmAccess as { roles?: unknown }).roles
|
||||
if (!Array.isArray(roles)) return []
|
||||
return roles.filter((r): r is string => typeof r === 'string')
|
||||
}
|
||||
|
||||
function hasRole(profile: unknown, role: string): boolean {
|
||||
return realmRoles(profile).includes(role)
|
||||
}
|
||||
|
||||
/** Может ли актор approve / request_changes / reject schema OR record draft. */
|
||||
export function useCanReviewSchema(): boolean {
|
||||
const auth = useAuth()
|
||||
// TODO Phase 1d: const roles = (auth.user?.profile as { realm_access?: { roles?: string[] } })?.realm_access?.roles ?? []
|
||||
// return roles.includes(ROLE_SCHEMA_REVIEWER)
|
||||
void ROLE_SCHEMA_REVIEWER
|
||||
return auth.isAuthenticated
|
||||
return auth.isAuthenticated && hasRole(auth.user?.profile, ROLE_APPROVER)
|
||||
}
|
||||
|
||||
/** Universal alias — то же что {@link useCanReviewSchema}. */
|
||||
export const useCanReviewDraft = useCanReviewSchema
|
||||
|
||||
/** Может ли актор publish approved schema draft (bump live version). */
|
||||
export function useCanPublishSchema(): boolean {
|
||||
const auth = useAuth()
|
||||
// TODO Phase 1d: roles.includes(ROLE_SCHEMA_PUBLISHER)
|
||||
void ROLE_SCHEMA_PUBLISHER
|
||||
return auth.isAuthenticated
|
||||
return auth.isAuthenticated && hasRole(auth.user?.profile, ROLE_PUBLISHER)
|
||||
}
|
||||
|
||||
/** Может ли актор create schema draft (maker side). */
|
||||
/**
|
||||
* Может ли актор create schema draft (maker side). Maker не gated
|
||||
* специальной ролью — любой authenticated с required scope. Backend
|
||||
* проверяет scope ACL для конкретного словаря.
|
||||
*/
|
||||
export function useCanCreateSchemaDraft(): boolean {
|
||||
const auth = useAuth()
|
||||
// TODO Phase 1d: roles.includes(ROLE_SCHEMA_MAKER) OR any authenticated
|
||||
void ROLE_SCHEMA_MAKER
|
||||
return auth.isAuthenticated
|
||||
}
|
||||
|
||||
Reference in New Issue
Block a user