fix(security): audit RBAC complet v3.0 — rôles normalisés, lifecycle, changement mdp mobile

RBAC: - HealthResource: @PermitAll - RoleResource: @RolesAllowed ADMIN/SUPER_ADMIN/ADMIN_ORGANISATION class-level - PropositionAideResource: @RolesAllowed MEMBRE/USER class-level - AuthCallbackResource: @PermitAll - EvenementResource: @PermitAll /publics et /test, count restreint - BackupResource/LogsMonitoringResource/SystemResource: MODERATOR → MODERATEUR - AnalyticsResource: MANAGER/MEMBER → ADMIN_ORGANISATION/MEMBRE - RoleConstant.java: constantes de rôles centralisées Cycle de vie membres: - MemberLifecycleService: ajouterMembre()/retirerMembre() sur activation/radiation/archivage - MembreResource: endpoint GET /numero/{numeroMembre} - MembreService: méthode trouverParNumeroMembre() Changement mot de passe: - CompteAdherentResource: endpoint POST /auth/change-password (mobile) - MembreKeycloakSyncService: changerMotDePasseDirectKeycloak() via API Admin Keycloak directe - Fallback automatique si lions-user-manager indisponible Workflow: - Flyway V17-V23: rôles, types org, formules Option C, lifecycle columns, bareme cotisation - Nouvelles classes: MemberLifecycleService, OrganisationModuleService, scheduler - Security: OrganisationContextFilter, OrganisationContextHolder, ModuleAccessFilter
2026-04-07 20:52:26 +00:00
parent c74ae25ad6
commit a2dfae9a0b
78 changed files with 5637 additions and 271 deletions
--- a/src/test/java/dev/lions/unionflow/server/resource/HealthResourceTest.java
+++ b/src/test/java/dev/lions/unionflow/server/resource/HealthResourceTest.java
@@ -26,4 +26,38 @@ class HealthResourceTest {
                .body("timestamp", notNullValue())
                .body("message", equalTo("Serveur opérationnel"));
    }
+
+    @Test
+    @DisplayName("GET /api/status avec Accept inconnu retourne 200 (endpoint toujours accessible)")
+    void getStatus_acceptHeaderDifferent_returns200() {
+        given()
+                .header("Accept", "application/json")
+                .when()
+                .get("/api/status")
+                .then()
+                .statusCode(200)
+                .body("status", equalTo("UP"));
+    }
+
+    @Test
+    @DisplayName("GET /api/status/inexistant retourne 404")
+    void getStatusInexistant_returns404() {
+        given()
+                .when()
+                .get("/api/status/inexistant")
+                .then()
+                .statusCode(404);
+    }
+
+    @Test
+    @DisplayName("POST /api/status retourne 405 (méthode non autorisée)")
+    void postStatus_returns405() {
+        given()
+                .contentType(ContentType.JSON)
+                .body("{}")
+                .when()
+                .post("/api/status")
+                .then()
+                .statusCode(405);
+    }
 }