feat: implement multi-tenancy and super admin impersonation with security banner

2026-02-21 20:15:47 +01:00
parent a0e904d69d
commit 63e448ef22
31 changed files with 819 additions and 51 deletions
--- a/app/Http/Middleware/TenantContext.php
+++ b/app/Http/Middleware/TenantContext.php
@@ -0,0 +1,50 @@
+<?php
+
+namespace App\Http\Middleware;
+
+use Closure;
+use Illuminate\Http\Request;
+use Symfony\Component\HttpFoundation\Response;
+use Illuminate\Support\Facades\Auth;
+
+class TenantContext
+{
+    /**
+     * Handle an incoming request.
+     *
+     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
+     */
+    public function handle(Request $request, Closure $next): Response
+    {
+        if (Auth::check()) {
+            $user = Auth::user();
+
+            // 1. Initialiser le contexte Spatie sur la propre structure de l'utilisateur
+            // CELA NE DOIT JAMAIS CHANGER ! 
+            // C'est ce qui permet à Laravel de toujours charger les rôles originels (Admin, SuperAdmin) du compte,
+            // même s'il est en train d'ausculter les données d'un autre client.
+            setPermissionsTeamId($user->structure_id);
+
+            // S'il s'agit d'un SuperAdmin, il peut avoir choisi une structure spécifique en session
+            if ($user->hasRole('SuperAdmin')) {
+                if ($request->session()->has('target_structure_id')) {
+                    $targetId = $request->session()->get('target_structure_id');
+                    // On modifie UNIQUEMENT la configuration globale pour filtrer les données (BelongsToStructure scope)
+                    config(['tenant.structure_id' => $targetId]);
+                } else {
+                    // Par défaut, s'il n'a pas ciblé de structure, vue globale (tous les locataires)
+                    config(['tenant.structure_id' => null]);
+                    // Et par défaut on remet sa session sur son origine si elle était vide
+                    $request->session()->put('target_structure_id', null);
+                }
+            } else {
+                // Utilisateur SaaS standard : on fixe la config globale à SA structure
+                config(['tenant.structure_id' => $user->structure_id]);
+                // On met de force cette valeur dans sa session
+                $request->session()->put('target_structure_id', $user->structure_id);
+            }
+        }
+
+        return $next($request);
+    }
+}