From a2746297193d80a2dccba489683b477e343f1d07 Mon Sep 17 00:00:00 2001 From: Martin Date: Thu, 15 Feb 2024 17:10:11 +0100 Subject: [PATCH] fix(instructeurs/groupes_instructeurs#*): add some ACL here --- .../groupe_instructeurs_controller.rb | 3 ++ .../groupe_instructeurs_controller_spec.rb | 37 +++++++++++++++---- 2 files changed, 33 insertions(+), 7 deletions(-) diff --git a/app/controllers/instructeurs/groupe_instructeurs_controller.rb b/app/controllers/instructeurs/groupe_instructeurs_controller.rb index 0800e8010..0a75ff309 100644 --- a/app/controllers/instructeurs/groupe_instructeurs_controller.rb +++ b/app/controllers/instructeurs/groupe_instructeurs_controller.rb @@ -106,6 +106,9 @@ module Instructeurs flash[:alert] = "Vous n’avez pas le droit de gérer les instructeurs de cette démarche" redirect_to instructeur_procedure_path(procedure) end + rescue ActiveRecord::RecordNotFound + flash[:alert] = "Vous n’avez pas accès à cette démarche" + redirect_to root_path end end end diff --git a/spec/controllers/instructeurs/groupe_instructeurs_controller_spec.rb b/spec/controllers/instructeurs/groupe_instructeurs_controller_spec.rb index 989594716..77d09117a 100644 --- a/spec/controllers/instructeurs/groupe_instructeurs_controller_spec.rb +++ b/spec/controllers/instructeurs/groupe_instructeurs_controller_spec.rb @@ -1,8 +1,8 @@ describe Instructeurs::GroupeInstructeursController, type: :controller do render_views - + let(:administrateurs) { [create(:administrateur, user: instructeur.user)] } let(:instructeur) { create(:instructeur) } - let(:procedure) { create(:procedure, :published) } + let(:procedure) { create(:procedure, :published, administrateurs:) } let!(:gi_1_1) { procedure.defaut_groupe_instructeur } let!(:gi_1_2) { create(:groupe_instructeur, label: 'groupe instructeur 2', procedure: procedure) } @@ -25,11 +25,15 @@ describe Instructeurs::GroupeInstructeursController, type: :controller do end end - describe '#index' do - context 'of a procedure I own' do - before do - get :index, params: { procedure_id: procedure.id } - end + describe '#index (plus, ensure_allowed!)' do + context 'when i own the procedure' do + before { get :index, params: { procedure_id: procedure.id } } + it { expect(response).to have_http_status(:ok) } + end + + context 'when i am an instructeur of the procedure and instructeurs_self_management_enabled is true' do + let(:procedure) { create(:procedure, :published, administrateurs: [create(:administrateur)], instructeurs_self_management_enabled: true) } + before { get :index, params: { procedure_id: procedure.id } } context 'when a procedure has multiple groups' do it { expect(response).to have_http_status(:ok) } @@ -38,6 +42,25 @@ describe Instructeurs::GroupeInstructeursController, type: :controller do it { expect(response.body).not_to include(gi_2_2.label) } end end + + context 'when i am an instructor of the procedure, and instructeurs_self_management_enabled is false' do + let(:procedure) { create(:procedure, :published, administrateurs: [create(:administrateur)], instructeurs_self_management_enabled: false) } + before { get :index, params: { procedure_id: procedure.id } } + + it { expect(response).to have_http_status(:redirect) } + it { expect(flash.alert).to eq("Vous n’avez pas le droit de gérer les instructeurs de cette démarche") } + end + + context 'i am an instructor, not on the procedure' do + let(:procedure) { create(:procedure, :published, administrateurs: [create(:administrateur)], instructeurs_self_management_enabled: true) } + before do + sign_in(create(:instructeur).user) + get :index, params: { procedure_id: procedure.id } + end + + it { expect(response).to have_http_status(:redirect) } + it { expect(flash.alert).to eq("Vous n’avez pas accès à cette démarche") } + end end describe '#show' do