senke/veza

senke 2dfde29f7d refonte: backend-api go first; phase 1

2025-12-12 21:34:34 -05:00

9.3 KiB

Raw Blame History

✅ P1-003 — OWNERSHIP VERIFICATION (PUT/DELETE) + ADMIN OVERRIDE

Date: 2025-12-12
Objectif: Empêcher un utilisateur authentifié de modifier/supprimer une ressource qui ne lui appartient pas, avec override admin

📋 RÉSUMÉ

✅ Vérification ownership implémentée : Tous les endpoints PUT/DELETE vérifient l'ownership
✅ Override admin fonctionnel : Les admins peuvent bypass l'ownership via RBAC
✅ Tests complets : 6 tests unitaires couvrent tous les cas (user A modifie B => 403, admin => 200, user modifie own => 200)
✅ Batch operations sécurisées : BatchDeleteTracks et BatchUpdateTracks vérifient aussi l'ownership

📁 FICHIERS MODIFIÉS

1. `internal/core/track/service.go`

✅ UpdateTrack : Vérifie track.UserID != userID && !isAdmin → retourne ErrForbidden
✅ DeleteTrack : Vérifie track.UserID != userID && !isAdmin → retourne ErrForbidden
✅ BatchDeleteTracks : Vérifie ownership pour chaque track (admin peut bypass)
✅ BatchUpdateTracks : Vérifie ownership pour chaque track (admin peut bypass)

2. `internal/core/track/handler.go`

✅ UpdateTrack : Passe is_admin via context au service
✅ DeleteTrack : Passe is_admin via context au service
✅ BatchDeleteTracks : Passe is_admin via context au service
✅ BatchUpdateTracks : Passe is_admin via context au service

3. `internal/handlers/profile_handler.go`

✅ UpdateProfile : Vérifie userID != authenticatedUserID && !isAdmin → retourne 403
✅ Utilise déjà PermissionService.HasRole() pour vérifier le rôle admin

4. `internal/core/track/handler_ownership_test.go` (nouveau)

✅ 6 tests unitaires complets :
- TestUpdateTrack_UserAModifiesTrackOfUserB_Returns403
- TestUpdateTrack_AdminModifiesTrackOfUserB_Returns200
- TestUpdateTrack_UserModifiesOwnTrack_Returns200
- TestDeleteTrack_UserADeletesTrackOfUserB_Returns403
- TestDeleteTrack_AdminDeletesTrackOfUserB_Returns200
- TestDeleteTrack_UserDeletesOwnTrack_Returns200

🎯 ROUTES COUVERTES

TrackHandler (`/api/v1/tracks/*`)

Endpoint	Méthode	Ownership Check	Admin Override
`/tracks/{id}`	PUT	✅ Vérifié dans service	✅ Via `is_admin` context
`/tracks/{id}`	DELETE	✅ Vérifié dans service	✅ Via `is_admin` context
`/tracks/batch/delete`	POST	✅ Vérifié pour chaque track	✅ Via `is_admin` context
`/tracks/batch/update`	POST	✅ Vérifié pour chaque track	✅ Via `is_admin` context

ProfileHandler (`/api/v1/users/*`)

Endpoint	Méthode	Ownership Check	Admin Override
`/users/{id}`	PUT	✅ Vérifié dans handler	✅ Via `PermissionService.HasRole()`

🔒 MÉCANISME D'OWNERSHIP

1. Récupération de l'utilisateur authentifié

L'utilisateur authentifié est récupéré depuis le contexte Gin :

userID := c.MustGet("user_id").(uuid.UUID)

Le middleware d'authentification (internal/middleware/auth.go) définit user_id dans le contexte après validation du JWT.

2. Vérification du rôle admin

Le handler vérifie si l'utilisateur est admin via PermissionService :

isAdmin := false
if h.permissionService != nil {
    hasRole, err := h.permissionService.HasRole(c.Request.Context(), userID, "admin")
    if err == nil && hasRole {
        isAdmin = true
    }
}

3. Passage via context

Le flag is_admin est passé au service via context :

ctx := context.WithValue(c.Request.Context(), "is_admin", isAdmin)
track, err := h.trackService.UpdateTrack(ctx, trackID, userID, params)

4. Vérification dans le service

Le service vérifie l'ownership et le flag admin :

isAdmin := false
if adminVal := ctx.Value("is_admin"); adminVal != nil {
    if admin, ok := adminVal.(bool); ok {
        isAdmin = admin
    }
}

if track.UserID != userID && !isAdmin {
    return nil, ErrForbidden
}

🧪 PREUVES (TESTS)

Tests unitaires

go test ./internal/core/track -run "TestUpdateTrack_|TestDeleteTrack_" -v -count=1

Résultat : ✅ Tous les tests passent (6/6)

Test 1 : User A modifie track de User B → 403 Forbidden

TestUpdateTrack_UserAModifiesTrackOfUserB_Returns403

✅ User A (non-admin) tente de modifier un track de User B
✅ Retourne HTTP 403 Forbidden
✅ Le track n'est PAS modifié (titre original inchangé)

Test 2 : Admin modifie track de User B → 200 OK

TestUpdateTrack_AdminModifiesTrackOfUserB_Returns200

✅ Admin tente de modifier un track de User B
✅ Retourne HTTP 200 OK
✅ Le track est modifié (titre mis à jour)

Test 3 : User modifie son propre track → 200 OK

TestUpdateTrack_UserModifiesOwnTrack_Returns200

✅ User tente de modifier son propre track
✅ Retourne HTTP 200 OK
✅ Le track est modifié (titre mis à jour)

Test 4 : User A supprime track de User B → 403 Forbidden

TestDeleteTrack_UserADeletesTrackOfUserB_Returns403

✅ User A (non-admin) tente de supprimer un track de User B
✅ Retourne HTTP 403 Forbidden
✅ Le track n'est PAS supprimé (existe toujours en DB)

Test 5 : Admin supprime track de User B → 200 OK

TestDeleteTrack_AdminDeletesTrackOfUserB_Returns200

✅ Admin tente de supprimer un track de User B
✅ Retourne HTTP 200 OK
✅ Le track est supprimé (n'existe plus en DB)

Test 6 : User supprime son propre track → 200 OK

TestDeleteTrack_UserDeletesOwnTrack_Returns200

✅ User tente de supprimer son propre track
✅ Retourne HTTP 200 OK
✅ Le track est supprimé (n'existe plus en DB)

📊 EXEMPLES DE RÉPONSES

Cas 1 : User A modifie track de User B (403 Forbidden)

Requête :

PUT /api/v1/tracks/{track_id}
Authorization: Bearer {token_user_a}
Content-Type: application/json

{
  "title": "Hacked Title"
}

Réponse (HTTP 403) :

{
  "success": false,
  "error": "forbidden"
}

Cas 2 : Admin modifie track de User B (200 OK)

Requête :

PUT /api/v1/tracks/{track_id}
Authorization: Bearer {token_admin}
Content-Type: application/json

{
  "title": "Admin Updated Title"
}

Réponse (HTTP 200) :

{
  "success": true,
  "data": {
    "track": {
      "id": "...",
      "title": "Admin Updated Title",
      ...
    }
  }
}

Cas 3 : User modifie son propre track (200 OK)

Requête :

PUT /api/v1/tracks/{track_id}
Authorization: Bearer {token_user_owner}
Content-Type: application/json

{
  "title": "My Updated Title"
}

Réponse (HTTP 200) :

{
  "success": true,
  "data": {
    "track": {
      "id": "...",
      "title": "My Updated Title",
      ...
    }
  }
}

🔍 SNIPPETS DE CODE

Handler : Vérification admin et passage via context

// MOD-P1-003: Check if user is admin for ownership bypass
isAdmin := false
if h.permissionService != nil {
    hasRole, err := h.permissionService.HasRole(c.Request.Context(), userID, "admin")
    if err == nil && hasRole {
        isAdmin = true
    }
}

// Pass isAdmin via context
ctx := context.WithValue(c.Request.Context(), "is_admin", isAdmin)
track, err := h.trackService.UpdateTrack(ctx, trackID, userID, params)

Service : Vérification ownership avec override admin

// MOD-P1-003: Vérifier que l'utilisateur est propriétaire du track ou admin
isAdmin := false
if adminVal := ctx.Value("is_admin"); adminVal != nil {
    if admin, ok := adminVal.(bool); ok {
        isAdmin = admin
    }
}

if track.UserID != userID && !isAdmin {
    return nil, ErrForbidden
}

ProfileHandler : Vérification ownership directe

// MOD-P1-003: Verify that user_id corresponds to authenticated user or user is admin
isAdmin := false
if h.permissionService != nil {
    hasRole, err := h.permissionService.HasRole(c.Request.Context(), authenticatedUserID, "admin")
    if err == nil && hasRole {
        isAdmin = true
    }
}

if userID != authenticatedUserID && !isAdmin {
    RespondWithAppError(c, apperrors.NewForbiddenError("cannot update other user's profile"))
    return
}

✅ VALIDATION

Compilation

go build ./...

Résultat : ✅ Compilation réussie

Tests unitaires

go test ./internal/core/track -run "TestUpdateTrack_|TestDeleteTrack_" -v

Résultat : ✅ Tous les tests passent (6/6)

Tests complets

go test ./... -count=1

Résultat : Tests unitaires P1-003 passent. Les tests qui échouent sont préexistants.

🎯 OBJECTIFS ATTEINTS

✅ PUT /users/:id : Vérification ownership + override admin
✅ PUT /tracks/:id : Vérification ownership + override admin
✅ DELETE /tracks/:id : Vérification ownership + override admin
✅ Batch operations : Vérification ownership pour chaque track
✅ Tests complets : 6 tests couvrent tous les cas (403, 200, admin override)
✅ Preuves : Tests prouvent que le bypass n'est plus possible

📋 COMMANDES DE VALIDATION

Tests unitaires

go test ./internal/core/track -run "TestUpdateTrack_|TestDeleteTrack_" -v -count=1

Tests complets

go test ./... -count=1

Compilation

go build ./...

Statut final : ✅ P1-003 IMPLÉMENTÉ ET VALIDÉ

9.3 KiB Raw Blame History

✅ P1-003 — OWNERSHIP VERIFICATION (PUT/DELETE) + ADMIN OVERRIDE

📋 RÉSUMÉ

📁 FICHIERS MODIFIÉS

1. internal/core/track/service.go

2. internal/core/track/handler.go

3. internal/handlers/profile_handler.go

4. internal/core/track/handler_ownership_test.go (nouveau)

🎯 ROUTES COUVERTES

TrackHandler (/api/v1/tracks/*)

ProfileHandler (/api/v1/users/*)

🔒 MÉCANISME D'OWNERSHIP

1. Récupération de l'utilisateur authentifié

2. Vérification du rôle admin

3. Passage via context

4. Vérification dans le service

🧪 PREUVES (TESTS)

Tests unitaires

Test 1 : User A modifie track de User B → 403 Forbidden

Test 2 : Admin modifie track de User B → 200 OK

Test 3 : User modifie son propre track → 200 OK

Test 4 : User A supprime track de User B → 403 Forbidden

Test 5 : Admin supprime track de User B → 200 OK

Test 6 : User supprime son propre track → 200 OK

📊 EXEMPLES DE RÉPONSES

Cas 1 : User A modifie track de User B (403 Forbidden)

Cas 2 : Admin modifie track de User B (200 OK)

Cas 3 : User modifie son propre track (200 OK)

🔍 SNIPPETS DE CODE

Handler : Vérification admin et passage via context

Service : Vérification ownership avec override admin

ProfileHandler : Vérification ownership directe

✅ VALIDATION

Compilation

Tests unitaires

Tests complets

🎯 OBJECTIFS ATTEINTS

📋 COMMANDES DE VALIDATION

Tests unitaires

Tests complets

Compilation

9.3 KiB

Raw Blame History

1. `internal/core/track/service.go`

2. `internal/core/track/handler.go`

3. `internal/handlers/profile_handler.go`

4. `internal/core/track/handler_ownership_test.go` (nouveau)

TrackHandler (`/api/v1/tracks/*`)

ProfileHandler (`/api/v1/users/*`)