feat: module budgets complet avec sécurité, performance et métier

## Fonctionnalités - Module Budgets : enveloppes, lignes budgétaires, arbitrage DSI/Direction - Suivi de l'exécution budgétaire avec alertes visuelles (dépassement, seuil 80%) - Blocage des commandes si budget insuffisant (store + update) - Audit trail complet des arbitrages via HistoriqueBudget - Page d'index budgets refaite en tableau avec filtres et tri côté client - Page Services avec sélecteur d'icônes FontAwesome (solid + regular + brands) ## Sécurité - BudgetPolicy centralisée (viewAny, view, create, update, addLigne, updateLigne, deleteLigne, arbitrerLigne) - Autorisation sur tous les endpoints LigneBudget et Budget - Protection XSS : remplacement v-html par classes dynamiques - Validation des paramètres d'export (type, envelope) - Validation montant_arbitre ≤ montant_propose côté serveur ## Performance - Eager loading lignes.commandes.commune dans execution() et exportPdf() - Calculs montant_consomme/engage en mémoire sur collections déjà chargées - Null-safety sur montant_arbitre dans getMontantDisponibleAttribute ## Technique - Migration historique_budgets, budgets, ligne_budgets, rôle raf - SearchableSelect avec affichage du disponible budgétaire - FontAwesome enregistré globalement (fas, far, fab) - 33 tests Feature (sécurité, performance, métier) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-11 20:20:05 +02:00
parent b28c56c94c
commit 0ad77de412
31 changed files with 3574 additions and 37 deletions
--- a/app/Policies/BudgetPolicy.php
+++ b/app/Policies/BudgetPolicy.php
@@ -0,0 +1,110 @@
+<?php
+
+namespace App\Policies;
+
+use App\Models\Budget;
+use App\Models\LigneBudget;
+use App\Models\User;
+
+class BudgetPolicy
+{
+    /**
+     * Tout utilisateur authentifié peut voir la liste des budgets.
+     * Le filtrage par service est géré dans le contrôleur.
+     */
+    public function viewAny(User $user): bool
+    {
+        return true;
+    }
+
+    /**
+     * Un utilisateur peut voir un budget s'il appartient à son service,
+     * ou s'il est admin/directeur/raf.
+     */
+    public function view(User $user, Budget $budget): bool
+    {
+        return $user->hasRole(['admin', 'directeur', 'raf'])
+            || $budget->service_id === $user->service_id;
+    }
+
+    /**
+     * Seuls les admin et directeur peuvent créer des budgets.
+     */
+    public function create(User $user): bool
+    {
+        return $user->hasRole(['admin', 'directeur', 'raf']);
+    }
+
+    /**
+     * Seuls les admin et directeur peuvent changer le statut d'un budget.
+     */
+    public function update(User $user, Budget $budget): bool
+    {
+        return $user->hasRole(['admin', 'directeur']);
+    }
+
+    /**
+     * Seuls les admin peuvent supprimer un budget.
+     */
+    public function delete(User $user, Budget $budget): bool
+    {
+        return $user->hasRole('admin');
+    }
+
+    /**
+     * Un utilisateur peut ajouter une ligne budgétaire sur un budget
+     * si le budget lui appartient (son service) ou s'il est admin/directeur/raf,
+     * et si le budget n'est pas verrouillé.
+     */
+    public function addLigne(User $user, Budget $budget): bool
+    {
+        if (in_array($budget->statut, ['arbitrage_direction', 'valide', 'cloture'])) {
+            return false;
+        }
+
+        return $user->hasRole(['admin', 'directeur', 'raf'])
+            || $budget->service_id === $user->service_id;
+    }
+
+    /**
+     * Un utilisateur peut modifier une ligne budgétaire si :
+     * - le budget parent lui appartient (son service) ou il est admin/directeur/raf
+     * - le budget n'est pas verrouillé (arbitrage_direction, valide, cloture)
+     */
+    public function updateLigne(User $user, LigneBudget $ligneBudget): bool
+    {
+        $budget = $ligneBudget->budget;
+
+        if (!$budget || in_array($budget->statut, ['arbitrage_direction', 'valide', 'cloture'])) {
+            return false;
+        }
+
+        return $user->hasRole(['admin', 'directeur', 'raf'])
+            || $budget->service_id === $user->service_id;
+    }
+
+    /**
+     * Un utilisateur peut supprimer une ligne budgétaire si :
+     * - le budget parent lui appartient (son service) ou il est admin/directeur/raf
+     * - le budget n'est pas verrouillé
+     */
+    public function deleteLigne(User $user, LigneBudget $ligneBudget): bool
+    {
+        $budget = $ligneBudget->budget;
+
+        if (!$budget || in_array($budget->statut, ['arbitrage_direction', 'valide', 'cloture'])) {
+            return false;
+        }
+
+        return $user->hasRole(['admin', 'directeur', 'raf'])
+            || $budget->service_id === $user->service_id;
+    }
+
+    /**
+     * Seuls les admin, directeur et raf peuvent arbitrer les lignes budgétaires.
+     */
+    public function arbitrerLigne(User $user, LigneBudget $ligneBudget): bool
+    {
+        return $user->hasRole(['admin', 'directeur', 'raf']);
+    }
+}