Merge pull request #10004 from mfo/add_missing_acl_on_instructeurs_self_management_enabled

secu(instructeurs/groupes_instructeurs): s'assure que seul les instructeurs d'une demarche ayant la gestion activé puisse acceder aux ecrans
2024-02-16 06:37:45 +00:00 · 2024-02-16 06:37:45 +00:00 · 3e9abd73e4
commit 3e9abd73e4
parent 429c7f43fc a274629719
2 changed files with 53 additions and 7 deletions
--- a/app/controllers/instructeurs/groupe_instructeurs_controller.rb
+++ b/app/controllers/instructeurs/groupe_instructeurs_controller.rb
@ -3,6 +3,8 @@ module Instructeurs
    include UninterlacePngConcern
    include GroupeInstructeursSignatureConcern

+    before_action :ensure_allowed!
+
    ITEMS_PER_PAGE = 25

    def index
@ -98,5 +100,15 @@ module Instructeurs
    def instructeur_id
      params[:instructeur][:id]
    end
+
+    def ensure_allowed!
+      if !(current_administrateur&.owns?(procedure) || procedure.instructeurs_self_management_enabled?)
+        flash[:alert] = "Vous n’avez pas le droit de gérer les instructeurs de cette démarche"
+        redirect_to instructeur_procedure_path(procedure)
+      end
+    rescue ActiveRecord::RecordNotFound
+      flash[:alert] = "Vous n’avez pas accès à cette démarche"
+      redirect_to root_path
+    end
  end
 end
--- a/spec/controllers/instructeurs/groupe_instructeurs_controller_spec.rb
+++ b/spec/controllers/instructeurs/groupe_instructeurs_controller_spec.rb
@ -1,8 +1,8 @@
 describe Instructeurs::GroupeInstructeursController, type: :controller do
  render_views
-
+  let(:administrateurs) { [create(:administrateur, user: instructeur.user)] }
  let(:instructeur) { create(:instructeur) }
-  let(:procedure) { create(:procedure, :published) }
+  let(:procedure) { create(:procedure, :published, administrateurs:) }
  let!(:gi_1_1) { procedure.defaut_groupe_instructeur }
  let!(:gi_1_2) { create(:groupe_instructeur, label: 'groupe instructeur 2', procedure: procedure) }

@ -14,11 +14,26 @@ describe Instructeurs::GroupeInstructeursController, type: :controller do
    sign_in(instructeur.user)
  end

-  describe '#index' do
-    context 'of a procedure I own' do
-      before do
-        get :index, params: { procedure_id: procedure.id }
-      end
+  describe "before_action: ensure_allowed!" do
+    it "is present" do
+      before_actions = Instructeurs::GroupeInstructeursController
+        ._process_action_callbacks
+        .filter { |process_action_callbacks| process_action_callbacks.kind == :before }
+        .map(&:filter)
+
+      expect(before_actions).to include(:ensure_allowed!)
+    end
+  end
+
+  describe '#index (plus, ensure_allowed!)' do
+    context 'when i own the procedure' do
+      before { get :index, params: { procedure_id: procedure.id } }
+      it { expect(response).to have_http_status(:ok) }
+    end
+
+    context 'when i am an instructeur of the procedure and instructeurs_self_management_enabled is true' do
+      let(:procedure) { create(:procedure, :published, administrateurs: [create(:administrateur)], instructeurs_self_management_enabled: true) }
+      before { get :index, params: { procedure_id: procedure.id } }

      context 'when a procedure has multiple groups' do
        it { expect(response).to have_http_status(:ok) }
@ -27,6 +42,25 @@ describe Instructeurs::GroupeInstructeursController, type: :controller do
        it { expect(response.body).not_to include(gi_2_2.label) }
      end
    end
+
+    context 'when i am an instructor of the procedure, and instructeurs_self_management_enabled is false' do
+      let(:procedure) { create(:procedure, :published, administrateurs: [create(:administrateur)], instructeurs_self_management_enabled: false) }
+      before { get :index, params: { procedure_id: procedure.id } }
+
+      it { expect(response).to have_http_status(:redirect) }
+      it { expect(flash.alert).to eq("Vous n’avez pas le droit de gérer les instructeurs de cette démarche") }
+    end
+
+    context 'i am an instructor, not on the procedure' do
+      let(:procedure) { create(:procedure, :published, administrateurs: [create(:administrateur)], instructeurs_self_management_enabled: true) }
+      before do
+        sign_in(create(:instructeur).user)
+        get :index, params: { procedure_id: procedure.id }
+      end
+
+      it { expect(response).to have_http_status(:redirect) }
+      it { expect(flash.alert).to eq("Vous n’avez pas accès à cette démarche") }
+    end
  end

  describe '#show' do