chore(dev): revert IP LAN 192.168.1.13 → 192.168.1.145

feat(members): desactiverMembre cascade complète (Keycloak, Kafka, audit, mono-admin)
Refactor de MembreService.desactiverMembre en 8 étapes transactionnelles : 1. GARDE-FOU mono-admin : refuse 409 Conflict si le membre est le seul ORGADMIN d'au moins une org (évite l'orphelinage). 2. DB : actif=false + statutCompte='DESACTIVE'. 3. Adhésions actives → SUSPENDU + décrément nombreMembres. 4. MembreRole (ORGADMIN, TRESORIER...) → actif=false, dateFin=today. 5. Notifications pending (EN_ATTENTE, ECHEC_TEMPORAIRE) → ANNULEE. 6. Keycloak (lions-user-manager) : user.enabled=false → login bloqué. 7. Kafka : publishMemberDeactivated(membre) sur unionflow.members.events → consumers peuvent réagir (comptes épargne, inscriptions, approvals, etc.) 8. AuditLog MEMBRE_DESACTIVE : opérateur, timestamp, compteurs (RGPD/compliance). Côté liste : - listerMembres/compterMembres : filtre actif=true par défaut (SuperAdmin). - MembreRepository.findDistinctByOrganisationIdIn : idem pour OrgAdmin. Services ajoutés : - AuditService.logMembreDesactive - KafkaEventProducer.publishMemberDeactivated
2026-04-15 20:13:02 +00:00 · 2026-04-15 20:12:55 +00:00 · 2026-04-15 20:12:37 +00:00 · 2026-04-15 20:05:49 +00:00 · 2026-04-15 20:05:36 +00:00
12 changed files with 582 additions and 29 deletions
--- a/src/main/java/dev/lions/unionflow/server/messaging/KafkaEventProducer.java
+++ b/src/main/java/dev/lions/unionflow/server/messaging/KafkaEventProducer.java
@@ -43,6 +43,9 @@ public class KafkaEventProducer {
    @Channel("contributions-events-out")
    Emitter<Record<String, String>> contributionsEventsEmitter;

+    @Channel("chat-messages-out")
+    Emitter<Record<String, String>> chatMessagesEmitter;
+
    /**
     * Publie un event d'approbation en attente.
     */
@@ -116,6 +119,28 @@ public class KafkaEventProducer {
        publishToChannel(membersEventsEmitter, memberId.toString(), event, "members-events");
    }

+    /**
+     * Publie un event de désactivation de membre (soft delete).
+     * Les consommateurs peuvent réagir : bloquer comptes épargne, annuler inscriptions,
+     * reassigner approvals pending, nettoyer notifications, etc.
+     */
+    public void publishMemberDeactivated(dev.lions.unionflow.server.entity.Membre membre) {
+        if (membre == null || membre.getId() == null) return;
+        Map<String, Object> data = new java.util.HashMap<>();
+        data.put("membreId", membre.getId().toString());
+        data.put("email", membre.getEmail());
+        data.put("nomComplet", membre.getNomComplet());
+        data.put("numeroMembre", membre.getNumeroMembre());
+        // organisationId principal (si présent) pour routage par org
+        String orgId = membre.getMembresOrganisations() != null
+                && !membre.getMembresOrganisations().isEmpty()
+                && membre.getMembresOrganisations().get(0).getOrganisation() != null
+            ? membre.getMembresOrganisations().get(0).getOrganisation().getId().toString()
+            : "";
+        var event = buildEvent("MEMBER_DEACTIVATED", orgId, data);
+        publishToChannel(membersEventsEmitter, membre.getId().toString(), event, "members-events");
+    }
+
    /**
     * Publie un event de cotisation payée.
     */
@@ -124,6 +149,15 @@ public class KafkaEventProducer {
        publishToChannel(contributionsEventsEmitter, contributionId.toString(), event, "contributions-events");
    }

+    /**
+     * Publie un event de nouveau message de chat.
+     * Les clients WebSocket de l'organisation sont notifiés pour rafraîchir leurs messages.
+     */
+    public void publishNouveauMessage(UUID conversationId, String organizationId, Map<String, Object> messageData) {
+        var event = buildEvent("NOUVEAU_MESSAGE", organizationId, messageData);
+        publishToChannel(chatMessagesEmitter, conversationId.toString(), event, "chat-messages");
+    }
+
    /**
     * Construit un event avec structure standardisée.
     */
--- a/src/main/java/dev/lions/unionflow/server/repository/MembreRepository.java
+++ b/src/main/java/dev/lions/unionflow/server/repository/MembreRepository.java
@@ -87,6 +87,7 @@ public class MembreRepository extends BaseRepository<Membre> {

    /**
     * Trouve les membres appartenant à au moins une des organisations données (pour admin d'organisation).
+     * Filtre les membres désactivés (actif=false) pour ne pas polluer les listes UI.
     */
    public List<Membre> findDistinctByOrganisationIdIn(Set<UUID> organisationIds, Page page, Sort sort) {
        if (organisationIds == null || organisationIds.isEmpty()) {
@@ -94,7 +95,9 @@ public class MembreRepository extends BaseRepository<Membre> {
        }
        String orderBy = sort != null ? " ORDER BY " + buildOrderBy(sort) : "";
        TypedQuery<Membre> query = entityManager.createQuery(
-                "SELECT DISTINCT m FROM Membre m JOIN m.membresOrganisations mo WHERE mo.organisation.id IN :organisationIds"
+                "SELECT DISTINCT m FROM Membre m JOIN m.membresOrganisations mo "
+                        + "WHERE mo.organisation.id IN :organisationIds "
+                        + "AND (m.actif = true OR m.actif IS NULL)"
                        + orderBy,
                Membre.class);
        query.setParameter("organisationIds", organisationIds);
@@ -103,13 +106,15 @@ public class MembreRepository extends BaseRepository<Membre> {
        return query.getResultList();
    }

-    /** Compte les membres distincts appartenant à au moins une des organisations données. */
+    /** Compte les membres distincts appartenant à au moins une des organisations données (filtre actif=true). */
    public long countDistinctByOrganisationIdIn(Set<UUID> organisationIds) {
        if (organisationIds == null || organisationIds.isEmpty()) {
            return 0L;
        }
        TypedQuery<Long> query = entityManager.createQuery(
-                "SELECT COUNT(DISTINCT m) FROM Membre m JOIN m.membresOrganisations mo WHERE mo.organisation.id IN :organisationIds",
+                "SELECT COUNT(DISTINCT m) FROM Membre m JOIN m.membresOrganisations mo "
+                        + "WHERE mo.organisation.id IN :organisationIds "
+                        + "AND (m.actif = true OR m.actif IS NULL)",
                Long.class);
        query.setParameter("organisationIds", organisationIds);
        return query.getSingleResult();
--- a/src/main/java/dev/lions/unionflow/server/repository/MembreRoleRepository.java
+++ b/src/main/java/dev/lions/unionflow/server/repository/MembreRoleRepository.java
@@ -7,6 +7,7 @@ import java.time.LocalDate;
 import java.util.List;
 import java.util.Optional;
 import java.util.UUID;
+import org.jboss.logging.Logger;

 /**
 * Repository pour l'entité MembreRole
@@ -18,6 +19,8 @@ import java.util.UUID;
@ApplicationScoped
 public class MembreRoleRepository implements PanacheRepository<MembreRole> {

+  private static final Logger LOG = Logger.getLogger(MembreRoleRepository.class);
+
  /**
   * Trouve une attribution membre-role par son UUID
   *
@@ -76,5 +79,70 @@ public class MembreRoleRepository implements PanacheRepository<MembreRole> {
    return find("membreOrganisation.membre.id = ?1 AND role.id = ?2", membreId, roleId)
        .firstResult();
  }
+
+  /**
+   * Compte les administrateurs actifs d'une organisation.
+   *
+   * <p>Le code DB du rôle admin d'organisation est {@code ORGADMIN}
+   * (cf. seed V13__Seed_Standard_Roles.sql). Ne pas confondre avec le rôle
+   * Keycloak {@code ADMIN_ORGANISATION} utilisé dans {@code @RolesAllowed} —
+   * les deux représentent le même concept mais avec un code différent par
+   * source (Keycloak vs table roles DB).
+   *
+   * <p>L'unique constraint {@code uk_mr_membre_org_role} garantit qu'un même
+   * membre n'est comptabilisé qu'une fois même s'il se voit attribuer
+   * plusieurs fois le rôle.
+   *
+   * @param organisationId ID de l'organisation
+   * @return nombre d'admins actifs de cette organisation
+   */
+  public long countAdminsByOrganisationId(UUID organisationId) {
+    final LocalDate today = LocalDate.now();
+
+    // Diagnostic : inventaire complet des MembreRole liés à cette organisation
+    final long totalForOrg = count("organisation.id = ?1", organisationId);
+    final List<MembreRole> allForOrg = list("organisation.id = ?1", organisationId);
+    final String codesFound = allForOrg.stream()
+        .map(mr -> String.format(
+            "%s[actif=%s,dateDebut=%s,dateFin=%s]",
+            mr.getRole() != null ? mr.getRole().getCode() : "null",
+            mr.getActif(),
+            mr.getDateDebut(),
+            mr.getDateFin()))
+        .reduce((a, b) -> a + ", " + b)
+        .orElse("(aucun)");
+
+    final long strictCount = count(
+        "organisation.id = ?1 AND role.code = ?2 AND actif = true "
+            + "AND (dateDebut IS NULL OR dateDebut <= ?3) "
+            + "AND (dateFin IS NULL OR dateFin >= ?3)",
+        organisationId,
+        "ORGADMIN",
+        today);
+
+    LOG.infof(
+        "countAdminsByOrganisationId(org=%s) → strict=%d, total_membres_roles_pour_cette_org=%d, detail=[%s]",
+        organisationId, strictCount, totalForOrg, codesFound);
+
+    // Fallback : si aucun match strict mais qu'il existe des entrées actives
+    // avec un code admin alternatif (ex. ADMIN_ORGANISATION résiduel), on les
+    // compte quand même pour éviter un faux zéro.
+    if (strictCount == 0 && totalForOrg > 0) {
+      final long fallbackCount = count(
+          "organisation.id = ?1 AND role.code IN (?2) AND actif = true "
+              + "AND (dateDebut IS NULL OR dateDebut <= ?3) "
+              + "AND (dateFin IS NULL OR dateFin >= ?3)",
+          organisationId,
+          List.of("ORGADMIN", "ADMIN_ORGANISATION", "ADMIN"),
+          today);
+      if (fallbackCount > 0) {
+        LOG.warnf(
+            "countAdminsByOrganisationId(org=%s) strict=0 mais fallback (codes alternatifs)=%d — le seed V13 utilise 'ORGADMIN', vérifier les assignations",
+            organisationId, fallbackCount);
+        return fallbackCount;
+      }
+    }
+    return strictCount;
+  }
 }

--- a/src/main/java/dev/lions/unionflow/server/resource/MembreResource.java
+++ b/src/main/java/dev/lions/unionflow/server/resource/MembreResource.java
@@ -11,6 +11,7 @@ import dev.lions.unionflow.server.entity.Membre;
 import dev.lions.unionflow.server.entity.Organisation;
 import dev.lions.unionflow.server.entity.MembreOrganisation;
 import dev.lions.unionflow.server.repository.MembreOrganisationRepository;
+import dev.lions.unionflow.server.repository.MembreRoleRepository;
 import dev.lions.unionflow.server.service.MemberLifecycleService;
 import dev.lions.unionflow.server.service.MembreKeycloakSyncService;
 import dev.lions.unionflow.server.service.MembreService;
@@ -77,6 +78,9 @@ public class MembreResource {
  @Inject
  MembreOrganisationRepository membreOrgRepository;

+  @Inject
+  MembreRoleRepository membreRoleRepository;
+
  @Inject
  io.quarkus.security.identity.SecurityIdentity securityIdentity;

@@ -1119,6 +1123,10 @@ public class MembreResource {
      @Parameter(description = "UUID du lien membre-organisation") @PathParam("membreOrgId") UUID membreOrgId,
      Map<String, String> body) {

+    MembreOrganisation lienCheck = membreOrgRepository.findByIdOptional(membreOrgId)
+        .orElseThrow(() -> new NotFoundException("Lien membre-organisation introuvable: " + membreOrgId));
+    verifierOwnershipEtProtectionAdmin(lienCheck);
+
    String motif = body != null ? body.get("motif") : null;
    UUID adminId = resolveCurrentAdminId();
    try {
@@ -1148,6 +1156,10 @@ public class MembreResource {
      @Parameter(description = "UUID du lien membre-organisation") @PathParam("membreOrgId") UUID membreOrgId,
      Map<String, String> body) {

+    MembreOrganisation lienCheck = membreOrgRepository.findByIdOptional(membreOrgId)
+        .orElseThrow(() -> new NotFoundException("Lien membre-organisation introuvable: " + membreOrgId));
+    verifierOwnershipEtProtectionAdmin(lienCheck);
+
    String motif = body != null ? body.get("motif") : null;
    try {
      var lien = memberLifecycleService.archiverMembre(membreOrgId, motif);
@@ -1223,6 +1235,7 @@ public class MembreResource {
      return Response.status(Response.Status.NOT_FOUND)
          .entity(Map.of("error", "Aucune adhésion trouvée")).build();
    }
+    verifierOwnershipEtProtectionAdmin(lien);
    String motif = body != null ? body.get("motif") : null;
    UUID adminId = resolveCurrentAdminId();
    try {
@@ -1258,6 +1271,7 @@ public class MembreResource {
      return Response.status(Response.Status.NOT_FOUND)
          .entity(Map.of("error", "Aucune adhésion trouvée")).build();
    }
+    verifierOwnershipEtProtectionAdmin(lien);
    String motif = body != null ? body.get("motif") : null;
    UUID adminId = resolveCurrentAdminId();
    try {
@@ -1292,6 +1306,7 @@ public class MembreResource {
      return Response.status(Response.Status.NOT_FOUND)
          .entity(Map.of("error", "Aucune adhésion trouvée")).build();
    }
+    verifierOwnershipEtProtectionAdmin(lien);
    String motif = body != null ? body.get("motif") : null;
    var updated = memberLifecycleService.radierMembre(lien.getId(), resolveCurrentAdminId(), motif);
    return Response.ok(Map.of("statut", updated.getStatutMembre())).build();
@@ -1314,6 +1329,55 @@ public class MembreResource {
    return Response.ok(membreService.convertToResponse(membre)).build();
  }

+  /**
+   * Vérifie qu'un ADMIN_ORGANISATION :
+   * 1. agit bien sur une organisation dont il est responsable (ownership),
+   * 2. ne tente pas d'agir sur un autre admin (ORGADMIN) ou super-admin (SUPERADMIN).
+   *
+   * Sans effet si l'appelant est SUPER_ADMIN ou ADMIN (ils ont accès total).
+   *
+   * @throws ForbiddenException si l'une des règles est violée
+   */
+  private void verifierOwnershipEtProtectionAdmin(MembreOrganisation lien) {
+    java.util.Set<String> roles = securityIdentity.getRoles();
+    boolean isOrgAdminOnly = roles != null
+        && roles.contains("ADMIN_ORGANISATION")
+        && !roles.contains("ADMIN")
+        && !roles.contains("SUPER_ADMIN");
+
+    if (!isOrgAdminOnly) {
+      return; // SUPER_ADMIN / ADMIN : accès total, pas de vérification supplémentaire
+    }
+
+    // ── 1. Ownership : l'org cible doit appartenir à l'admin connecté ──────
+    String email = securityIdentity.getPrincipal().getName();
+    java.util.List<UUID> orgIds = organisationService
+        .listerOrganisationsPourUtilisateur(email)
+        .stream()
+        .map(Organisation::getId)
+        .collect(java.util.stream.Collectors.toList());
+
+    if (lien.getOrganisation() == null || !orgIds.contains(lien.getOrganisation().getId())) {
+      LOG.warnf("ADMIN_ORGANISATION %s tente d'agir sur org %s qui n'est pas la sienne",
+          email, lien.getOrganisation() != null ? lien.getOrganisation().getId() : "null");
+      throw new ForbiddenException("Vous n'êtes pas autorisé à gérer les membres de cette organisation.");
+    }
+
+    // ── 2. Protection : interdire d'agir sur un admin ou super-admin ────────
+    Membre cible = lien.getMembre();
+    if (cible != null && cible.getId() != null) {
+      long adminCount = membreRoleRepository.count(
+          "membreOrganisation.membre.id = ?1 AND role.code IN (?2) AND actif = true",
+          cible.getId(), java.util.List.of("ORGADMIN", "SUPERADMIN"));
+      if (adminCount > 0) {
+        LOG.warnf("ADMIN_ORGANISATION %s tente d'agir sur l'admin/superadmin membre=%s",
+            email, cible.getId());
+        throw new ForbiddenException(
+            "Vous ne pouvez pas modifier le statut d'un administrateur ou super-administrateur.");
+      }
+    }
+  }
+
  /** Résout l'UUID de l'admin connecté depuis le JWT subject. */
  private UUID resolveCurrentAdminId() {
    try {
--- a/src/main/java/dev/lions/unionflow/server/security/OrganisationContextFilter.java
+++ b/src/main/java/dev/lions/unionflow/server/security/OrganisationContextFilter.java
@@ -6,6 +6,7 @@ import dev.lions.unionflow.server.entity.Organisation;
 import dev.lions.unionflow.server.repository.MembreOrganisationRepository;
 import dev.lions.unionflow.server.repository.MembreRepository;
 import dev.lions.unionflow.server.repository.OrganisationRepository;
+import dev.lions.unionflow.server.service.MembreRoleSyncService;
 import io.quarkus.security.identity.SecurityIdentity;
 import jakarta.annotation.Priority;
 import jakarta.inject.Inject;
@@ -54,6 +55,9 @@ public class OrganisationContextFilter implements ContainerRequestFilter {
    @Inject
    OrganisationRepository organisationRepository;

+    @Inject
+    MembreRoleSyncService membreRoleSyncService;
+
    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException {
        String orgIdHeader = requestContext.getHeaderString(HEADER_ACTIVE_ORG);
@@ -128,6 +132,18 @@ public class OrganisationContextFilter implements ContainerRequestFilter {
                            .build());
                        return;
                    }
+
+                    // Sync rôle DB ↔ Keycloak : si l'utilisateur est admin dans Keycloak
+                    // mais n'a pas encore de MembreRole ORGADMIN en base, le créer.
+                    if (securityIdentity.getRoles().contains("ADMIN_ORGANISATION")) {
+                        try {
+                            membreRoleSyncService.ensureOrgAdminRole(membreOrg);
+                        } catch (Exception e) {
+                            // Non bloquant — on log et on continue
+                            LOG.warnf("ensureOrgAdminRole: erreur non bloquante pour %s : %s",
+                                email, e.getMessage());
+                        }
+                    }
                }
            }
        }
--- a/src/main/java/dev/lions/unionflow/server/service/AuditService.java
+++ b/src/main/java/dev/lions/unionflow/server/service/AuditService.java
@@ -35,6 +35,33 @@ public class AuditService {
    @Inject
    OrganisationRepository organisationRepository;

+    /**
+     * Enregistre un audit de désactivation de membre (soft delete).
+     * Portée GLOBALE (trace centrale de toute action admin sur un compte).
+     */
+    @Transactional
+    public void logMembreDesactive(UUID membreId, String membreEmail, String adminOperateur,
+            int nbAdhesionsSuspendues, int nbRolesDesactives) {
+        AuditLog auditLog = new AuditLog();
+        auditLog.setTypeAction("MEMBRE_DESACTIVE");
+        auditLog.setSeverite("WARN");
+        auditLog.setUtilisateur(adminOperateur != null ? adminOperateur : "system");
+        auditLog.setModule("MEMBRES");
+        auditLog.setDescription("Désactivation (soft delete) d'un compte membre");
+        auditLog.setDetails(String.format(
+            "membreId=%s, email=%s, adhesionsSuspendues=%d, rolesDesactives=%d",
+            membreId, membreEmail != null ? membreEmail : "", nbAdhesionsSuspendues, nbRolesDesactives));
+        auditLog.setEntiteType("Membre");
+        auditLog.setEntiteId(membreId != null ? membreId.toString() : null);
+        auditLog.setDateHeure(LocalDateTime.now());
+        auditLog.setPortee(PorteeAudit.GLOBAL);
+        try {
+            auditLogRepository.persist(auditLog);
+        } catch (Exception e) {
+            log.warn("Persist audit MEMBRE_DESACTIVE échoué pour membreId={} : {}", membreId, e.getMessage());
+        }
+    }
+
    /**
     * Enregistre un log d'audit LCB-FT lorsqu'une transaction épargne dépasse le seuil.
     * Portée ORGANISATION pour traçabilité anti-blanchiment.
--- a/src/main/java/dev/lions/unionflow/server/service/MembreRoleSyncService.java
+++ b/src/main/java/dev/lions/unionflow/server/service/MembreRoleSyncService.java
@@ -0,0 +1,82 @@
+package dev.lions.unionflow.server.service;
+
+import dev.lions.unionflow.server.entity.MembreOrganisation;
+import dev.lions.unionflow.server.entity.MembreRole;
+import dev.lions.unionflow.server.repository.MembreRoleRepository;
+import dev.lions.unionflow.server.repository.RoleRepository;
+import jakarta.enterprise.context.ApplicationScoped;
+import jakarta.inject.Inject;
+import jakarta.persistence.EntityManager;
+import jakarta.persistence.PersistenceContext;
+import jakarta.transaction.Transactional;
+import java.time.LocalDate;
+import org.jboss.logging.Logger;
+
+/**
+ * Synchronise le rôle DB (MembreRole) avec le rôle Keycloak au premier accès.
+ *
+ * <p>Lorsqu'un utilisateur est admin dans Keycloak (rôle {@code ADMIN_ORGANISATION})
+ * mais n'a pas encore de ligne {@code MembreRole ORGADMIN} en base, ce service la
+ * crée à la volée. Cela couvre deux cas :
+ * <ol>
+ *   <li>Comptes créés directement dans Keycloak sans passer par
+ *       {@code MembreService#promouvoirAdminOrganisation}.</li>
+ *   <li>Bases de données en dev qui ont démarré avant la migration V30.</li>
+ * </ol>
+ */
+@ApplicationScoped
+public class MembreRoleSyncService {
+
+    private static final Logger LOG = Logger.getLogger(MembreRoleSyncService.class);
+
+    @Inject
+    MembreRoleRepository membreRoleRepository;
+
+    @Inject
+    RoleRepository roleRepository;
+
+    @PersistenceContext
+    EntityManager entityManager;
+
+    /**
+     * Assure qu'un MembreRole ORGADMIN existe pour ce MembreOrganisation.
+     * Idempotent : sans effet si l'entrée existe déjà.
+     *
+     * @param mo MembreOrganisation de l'admin (non null)
+     */
+    @Transactional
+    public void ensureOrgAdminRole(MembreOrganisation mo) {
+        if (mo == null || mo.getId() == null || mo.getOrganisation() == null) {
+            return;
+        }
+
+        // Vérifier si un MembreRole ORGADMIN actif existe déjà pour ce membre dans cette org
+        long existing = membreRoleRepository.count(
+            "membreOrganisation.id = ?1 AND role.code = ?2 AND actif = true",
+            mo.getId(), "ORGADMIN");
+
+        if (existing > 0) {
+            return; // Déjà en place — rien à faire
+        }
+
+        // Chercher le rôle ORGADMIN dans la table roles
+        roleRepository.findByCode("ORGADMIN").ifPresentOrElse(
+            role -> {
+                MembreRole mr = new MembreRole();
+                mr.setMembreOrganisation(mo);
+                mr.setOrganisation(mo.getOrganisation());
+                mr.setRole(role);
+                mr.setActif(true);
+                mr.setDateDebut(LocalDate.now());
+                entityManager.persist(mr);
+                LOG.infof(
+                    "MembreRole ORGADMIN auto-sync créé pour membre %s dans org %s",
+                    mo.getMembre() != null ? mo.getMembre().getId() : "?",
+                    mo.getOrganisation().getId());
+            },
+            () -> LOG.warnf(
+                "Rôle ORGADMIN introuvable dans la table roles — "
+                + "vérifier que V13__Seed_Standard_Roles.sql a été appliqué")
+        );
+    }
+}
--- a/src/main/java/dev/lions/unionflow/server/service/MembreService.java
+++ b/src/main/java/dev/lions/unionflow/server/service/MembreService.java
@@ -69,6 +69,15 @@ public class MembreService {
  @Inject
  dev.lions.unionflow.server.messaging.KafkaEventProducer kafkaEventProducer;

+  @Inject
+  MembreKeycloakSyncService keycloakSyncService;
+
+  @Inject
+  AuditService auditService;
+
+  @Inject
+  dev.lions.unionflow.server.repository.NotificationRepository notificationRepository;
+
  /** Crée un nouveau membre en attente de validation admin */
  @Transactional
  public Membre creerMembre(Membre membre) {
@@ -293,7 +302,25 @@ public class MembreService {
    return membreRepository.findByNomOrPrenom(recherche);
  }

-  /** Désactive un membre */
+  /**
+   * Désactive un membre avec propagation complète des cascades métier.
+   *
+   * <p>Garde-fous et effets :
+   * <ol>
+   *   <li><b>Check mono-admin</b> : si le membre est le seul ORGADMIN d'une org,
+   *       lève {@link jakarta.ws.rs.WebApplicationException} 409 Conflict — l'appelant
+   *       doit d'abord assigner un autre admin pour éviter l'orphelinage.</li>
+   *   <li>DB : {@code actif=false}, {@code statutCompte='DESACTIVE'}</li>
+   *   <li>Toutes les adhésions actives → {@code SUSPENDU}, {@code nombreMembres} décrémenté</li>
+   *   <li>Tous les {@link dev.lions.unionflow.server.entity.MembreRole} → {@code actif=false}
+   *       (perte immédiate des droits fonctionnels)</li>
+   *   <li>Keycloak (lions-user-manager) : {@code user.enabled=false} → login impossible</li>
+   *   <li>Kafka : événement {@code member.deactivated} émis pour les consommateurs externes</li>
+   * </ol>
+   *
+   * <p>Non couvert (laissé à des services spécialisés) : comptes épargne, cotisations,
+   * inscriptions événements, approbations en attente — à traiter via workflow dédié.
+   */
  @Transactional
  public void desactiverMembre(UUID id) {
    LOG.infof("Désactivation du membre ID: %s", id);
@@ -303,18 +330,107 @@ public class MembreService {
      throw new IllegalArgumentException("Membre non trouvé avec l'ID: " + id);
    }

-    membre.setActif(false);
+    // ── 1. GARDE-FOU mono-admin : refuser si l'orphelinage créerait une org sans admin ──
+    List<String> orgsOrphelines = verifierOrgsOrphelinees(id);
+    if (!orgsOrphelines.isEmpty()) {
+      final String msg = "Suppression impossible : ce membre est le seul administrateur de "
+          + orgsOrphelines.size() + " organisation(s) ("
+          + String.join(", ", orgsOrphelines)
+          + "). Veuillez d'abord désigner un autre administrateur avant de supprimer ce compte.";
+      LOG.warnf("Refus désactivation %s (mono-admin de %s)", id, orgsOrphelines);
+      throw new jakarta.ws.rs.WebApplicationException(msg, jakarta.ws.rs.core.Response.Status.CONFLICT);
+    }

-    // Décrémenter le compteur nombreMembres pour chaque organisation active du membre
-    // (fix DATA-01 : le compteur restait figé lors d'une désactivation directe)
-    membreOrganisationRepository.findOrganisationsActivesParMembre(id).forEach(mo -> {
+    // ── 2. DB : flags principaux du membre ───────────────────────────────────────────
+    membre.setActif(false);
+    membre.setStatutCompte("DESACTIVE");
+
+    // ── 3. Adhésions actives → SUSPENDU + décrément compteur org ─────────────────────
+    final var adhesionsActives = membreOrganisationRepository.findOrganisationsActivesParMembre(id);
+    for (var mo : adhesionsActives) {
      mo.getOrganisation().retirerMembre();
      mo.setStatutMembre(dev.lions.unionflow.server.api.enums.membre.StatutMembre.SUSPENDU);
-      LOG.infof("Compteur membres décrémenté pour organisation %s (membre désactivé)",
-          mo.getOrganisation().getId());
-    });
+    }
+    final int nbAdhesionsSuspendues = adhesionsActives.size();

-    LOG.infof("Membre désactivé: %s", membre.getNomComplet());
+    // ── 4. Désactivation des rôles fonctionnels (ORGADMIN, TRESORIER, etc.) ─────────
+    final int rolesDesactives = (int) membreRoleRepository.update(
+        "actif = false, dateFin = ?1, modifiePar = ?2 "
+            + "WHERE membreOrganisation.membre.id = ?3 AND actif = true",
+        LocalDate.now(), "system", id);
+    LOG.infof("%d MembreRole désactivés pour le membre %s", rolesDesactives, id);
+
+    // ── 5. Annulation des notifications pending pour ce membre ──────────────────────
+    try {
+      final long notifsAnnulees = notificationRepository.update(
+          "statut = ?1, dateModification = ?2 "
+              + "WHERE membre.id = ?3 AND statut IN (?4, ?5) AND actif = true",
+          "ANNULEE", java.time.LocalDateTime.now(), id,
+          "EN_ATTENTE", "ECHEC_TEMPORAIRE");
+      if (notifsAnnulees > 0) {
+        LOG.infof("%d notifications pending annulées pour membre %s", notifsAnnulees, id);
+      }
+    } catch (Exception e) {
+      LOG.warnf("Annulation notifications pending échouée pour %s : %s", id, e.getMessage());
+    }
+
+    // ── 6. Propagation Keycloak (non bloquant) ───────────────────────────────────────
+    try {
+      keycloakSyncService.syncMembreToKeycloak(id);
+      LOG.infof("Compte Keycloak désactivé pour membre %s", id);
+    } catch (Exception e) {
+      LOG.warnf("Sync Keycloak échouée pour membre %s : %s (DB reste cohérente)",
+          id, e.getMessage());
+    }
+
+    // ── 7. Événement Kafka pour les autres modules/services ─────────────────────────
+    try {
+      kafkaEventProducer.publishMemberDeactivated(membre);
+    } catch (Exception e) {
+      LOG.warnf("Publication Kafka member.deactivated échouée pour %s : %s", id, e.getMessage());
+    }
+
+    // ── 8. Audit log (traçabilité RGPD/compliance) ──────────────────────────────────
+    try {
+      String operateur = securityIdentity != null && !securityIdentity.isAnonymous()
+          ? securityIdentity.getPrincipal().getName()
+          : "system";
+      auditService.logMembreDesactive(id, membre.getEmail(), operateur,
+          nbAdhesionsSuspendues, rolesDesactives);
+    } catch (Exception e) {
+      LOG.warnf("Audit log MEMBRE_DESACTIVE échoué pour %s : %s", id, e.getMessage());
+    }
+
+    LOG.infof("Membre désactivé avec cascade complète : %s (adhésions=%d, rôles=%d)",
+        membre.getNomComplet(), nbAdhesionsSuspendues, rolesDesactives);
+  }
+
+  /**
+   * Vérifie si la désactivation d'un membre entraînerait l'orphelinage d'organisations
+   * (i.e. le membre est le seul ORGADMIN actif d'au moins une org).
+   *
+   * @return liste des noms d'organisations qui deviendraient orphelines (vide si OK)
+   */
+  private List<String> verifierOrgsOrphelinees(UUID membreId) {
+    List<String> orphelines = new ArrayList<>();
+    // Toutes les orgs où ce membre est ORGADMIN actif
+    final LocalDate today = LocalDate.now();
+    List<dev.lions.unionflow.server.entity.MembreRole> rolesAdmin = membreRoleRepository.list(
+        "membreOrganisation.membre.id = ?1 AND role.code = ?2 AND actif = true "
+            + "AND (dateDebut IS NULL OR dateDebut <= ?3) "
+            + "AND (dateFin IS NULL OR dateFin >= ?3)",
+        membreId, "ORGADMIN", today);
+
+    for (var role : rolesAdmin) {
+      if (role.getOrganisation() == null) continue;
+      UUID orgId = role.getOrganisation().getId();
+      long totalAdmins = membreRoleRepository.countAdminsByOrganisationId(orgId);
+      // Si ce membre est le seul admin (total=1) et qu'on le désactive → org orpheline
+      if (totalAdmins <= 1) {
+        orphelines.add(role.getOrganisation().getNom());
+      }
+    }
+    return orphelines;
  }

  /** Génère un numéro de membre unique */
@@ -342,10 +458,11 @@ public class MembreService {
      if (ids.isEmpty()) return List.of();
      return membreRepository.findDistinctByOrganisationIdIn(ids, page, sort);
    }
-    return membreRepository.findAll(page, sort);
+    // SuperAdmin : filtre les désactivés par défaut (ne pas polluer les listes UI)
+    return membreRepository.findAllActifs(page, sort);
  }

-  /** Compte les membres. Pour ADMIN_ORGANISATION, compte uniquement les membres de ses organisations. */
+  /** Compte les membres actifs. Pour ADMIN_ORGANISATION, compte uniquement les membres de ses organisations. */
  public long compterMembres() {
    Optional<Set<UUID>> orgIds = getOrganisationIdsForCurrentUserIfAdminOrg();
    if (orgIds.isPresent()) {
@@ -353,7 +470,7 @@ public class MembreService {
      if (ids.isEmpty()) return 0L;
      return membreRepository.countDistinctByOrganisationIdIn(ids);
    }
-    return membreRepository.count();
+    return membreRepository.countActifs();
  }

  /** Recherche des membres avec pagination. Pour ADMIN_ORGANISATION, limite aux membres de ses organisations. */
@@ -394,14 +511,18 @@ public class MembreService {
    long membresActifs = membreRepository.countActifs();
    long membresInactifs = totalMembres - membresActifs;
    long nouveauxMembres30Jours = membreRepository.countNouveauxMembres(LocalDate.now().minusDays(30));
+    long totalOrganisations = organisationService.rechercherOrganisationsCount("");

-    return Map.of(
-        "totalMembres", totalMembres,
-        "membresActifs", membresActifs,
-        "membresInactifs", membresInactifs,
-        "nouveauxMembres30Jours", nouveauxMembres30Jours,
-        "tauxActivite", totalMembres > 0 ? (membresActifs * 100.0 / totalMembres) : 0.0,
-        "timestamp", LocalDateTime.now());
+    Map<String, Object> stats = new java.util.HashMap<>();
+    stats.put("totalMembres", totalMembres);
+    stats.put("total", totalMembres); // alias pour compatibilité mobile
+    stats.put("membresActifs", membresActifs);
+    stats.put("membresInactifs", membresInactifs);
+    stats.put("nouveauxMembres30Jours", nouveauxMembres30Jours);
+    stats.put("tauxActivite", totalMembres > 0 ? (membresActifs * 100.0 / totalMembres) : 0.0);
+    stats.put("totalOrganisations", totalOrganisations);
+    stats.put("timestamp", LocalDateTime.now());
+    return stats;
  }

  // ========================================
--- a/src/main/java/dev/lions/unionflow/server/service/OrganisationService.java
+++ b/src/main/java/dev/lions/unionflow/server/service/OrganisationService.java
@@ -11,6 +11,7 @@ import dev.lions.unionflow.server.repository.AdresseRepository;
 import dev.lions.unionflow.server.repository.EvenementRepository;
 import dev.lions.unionflow.server.repository.MembreOrganisationRepository;
 import dev.lions.unionflow.server.repository.MembreRepository;
+import dev.lions.unionflow.server.repository.MembreRoleRepository;
 import dev.lions.unionflow.server.repository.TypeReferenceRepository;
 import dev.lions.unionflow.server.entity.Organisation;
 import dev.lions.unionflow.server.repository.OrganisationRepository;
@@ -63,6 +64,9 @@ public class OrganisationService {
  @Inject
  EvenementRepository evenementRepository;

+  @Inject
+  MembreRoleRepository membreRoleRepository;
+
  /**
   * Crée une nouvelle organisation
   *
@@ -565,11 +569,16 @@ public class OrganisationService {
    dto.setObjectifs(organisation.getObjectifs());
    dto.setActivitesPrincipales(organisation.getActivitesPrincipales());
    dto.setNombreMembres(organisation.getNombreMembres());
-    dto.setNombreAdministrateurs(organisation.getNombreAdministrateurs());
    if (organisation.getId() != null) {
+      // Compte dynamique des administrateurs (rôle ADMIN_ORGANISATION actif)
+      // — le champ Organisation.nombreAdministrateurs n'est pas tenu à jour.
+      long countAdmins = membreRoleRepository.countAdminsByOrganisationId(organisation.getId());
+      dto.setNombreAdministrateurs((int) countAdmins);
+
      long countEvenements = evenementRepository.countActifsByOrganisationId(organisation.getId());
      dto.setNombreEvenements((int) countEvenements);
    } else {
+      dto.setNombreAdministrateurs(0);
      dto.setNombreEvenements(0);
    }
    dto.setBudgetAnnuel(organisation.getBudgetAnnuel());
--- a/src/main/resources/application-dev.properties
+++ b/src/main/resources/application-dev.properties
@@ -24,17 +24,17 @@ quarkus.http.cors.origins=*

 # Keycloak / OIDC local
 quarkus.oidc.tenant-enabled=true
-quarkus.oidc.auth-server-url=http://localhost:8180/realms/unionflow
+quarkus.oidc.auth-server-url=http://192.168.1.145:8180/realms/unionflow
 quarkus.oidc.client-id=unionflow-server
 # Audience mapper configuré sur unionflow-client et unionflow-mobile dans Keycloak
 # → les tokens contiennent désormais "unionflow-server" dans le claim aud
 quarkus.oidc.token.audience=unionflow-server
-quarkus.oidc.credentials.secret=unionflow-secret-2025
+quarkus.oidc.credentials.secret=Esj0DzyRt7wSPtcePDae1dQQdqmQxlJm
 quarkus.oidc.tls.verification=none
-# Issuer dynamique — Keycloak émet iss=http://<IP_LAN>:8180/... quand le mobile
-# accède via le réseau local. DEV_HOST dans .env doit correspondre à l'IP de la machine.
-# Garder en sync avec android/local.properties → dev.host
-quarkus.oidc.token.issuer=http://${DEV_HOST:localhost}:8180/realms/unionflow
+# En dev : accepter les tokens dont l'issuer est l'IP locale (mobile) ou localhost (web)
+# issuer=any est requis car le mobile obtient ses tokens via l'IP LAN (192.168.x.x)
+# alors que le backend peut tourner sur localhost — les deux issuers seraient différents.
+quarkus.oidc.token.issuer=any

 # OpenAPI — serveur dev
 quarkus.smallrye-openapi.servers=http://localhost:8085
@@ -63,3 +63,9 @@ quarkus.oidc-client.admin-service.credentials.secret=Esj0DzyRt7wSPtcePDae1dQQdqm
 quarkus.oidc-client.admin-service.grant.type=client
 quarkus.oidc-client.admin-service.tls.verification=none
 quarkus.oidc-client.admin-service.early-tokens-acquisition=true
+
+# Keycloak Admin API (dev)
+keycloak.admin.url=http://192.168.1.145:8180
+keycloak.admin.username=${KEYCLOAK_ADMIN_USERNAME:admin}
+keycloak.admin.password=${KEYCLOAK_ADMIN_PASSWORD:admin}
+keycloak.admin.realm=unionflow
--- a/src/main/resources/db/migration/V30__Fix_MembresRoles_Schema_Align_With_Entity.sql
+++ b/src/main/resources/db/migration/V30__Fix_MembresRoles_Schema_Align_With_Entity.sql
@@ -0,0 +1,67 @@
+-- ============================================================================
+-- V30 — Alignement membres_roles avec l'entité Java MembreRole
+--
+-- Contexte : Hibernate update mode a pu créer membres_roles avant V1 (depuis
+-- l'entité Java), OU V1 l'a créé avec membre_id. Les deux cas sont gérés.
+-- Toutes les opérations sont défensives (IF EXISTS / DO blocks).
+-- ============================================================================
+
+-- 1. Rendre membre_id nullable si la colonne existe encore (cas V1-first)
+DO $$
+BEGIN
+    IF EXISTS (
+        SELECT 1 FROM information_schema.columns
+        WHERE table_name = 'membres_roles' AND column_name = 'membre_id'
+    ) THEN
+        ALTER TABLE membres_roles ALTER COLUMN membre_id DROP NOT NULL;
+    END IF;
+END $$;
+
+-- 2. Ajouter membre_organisation_id si absente
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS membre_organisation_id UUID
+    REFERENCES membres_organisations(id) ON DELETE CASCADE;
+
+-- 3. Ajouter organisation_id si absente
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS organisation_id UUID
+    REFERENCES organisations(id) ON DELETE CASCADE;
+
+-- 4. Ajouter date_debut / date_fin / commentaire si absents
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS date_debut DATE;
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS date_fin DATE;
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS commentaire VARCHAR(500);
+
+-- 5. Ajouter les colonnes BaseEntity manquantes
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS date_modification TIMESTAMP;
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS version BIGINT DEFAULT 0;
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS cree_par VARCHAR(255);
+ALTER TABLE membres_roles ADD COLUMN IF NOT EXISTS modifie_par VARCHAR(255);
+
+-- 6. Supprimer l'ancienne contrainte unique V1 (membre_id, role_id) si présente
+DO $$
+BEGIN
+    IF EXISTS (
+        SELECT 1 FROM pg_constraint
+        WHERE conname = 'uk_membre_role' AND conrelid = 'membres_roles'::regclass
+    ) THEN
+        ALTER TABLE membres_roles DROP CONSTRAINT uk_membre_role;
+    END IF;
+END $$;
+
+-- 7. Ajouter la contrainte unique (membre_organisation_id, role_id) si absente
+DO $$
+BEGIN
+    IF NOT EXISTS (
+        SELECT 1 FROM pg_constraint
+        WHERE conname = 'uk_mr_membre_org_role' AND conrelid = 'membres_roles'::regclass
+    ) THEN
+        ALTER TABLE membres_roles
+            ADD CONSTRAINT uk_mr_membre_org_role
+            UNIQUE (membre_organisation_id, role_id);
+    END IF;
+END $$;
+
+-- 8. Index de performance (IF NOT EXISTS — idempotent)
+CREATE INDEX IF NOT EXISTS idx_mr_membre_org   ON membres_roles (membre_organisation_id);
+CREATE INDEX IF NOT EXISTS idx_mr_organisation ON membres_roles (organisation_id);
+CREATE INDEX IF NOT EXISTS idx_mr_role         ON membres_roles (role_id);
+CREATE INDEX IF NOT EXISTS idx_mr_actif        ON membres_roles (actif);
--- a/src/main/resources/db/migration/V31__Fix_Notifications_Legacy_NotNull_Columns.sql
+++ b/src/main/resources/db/migration/V31__Fix_Notifications_Legacy_NotNull_Columns.sql
@@ -0,0 +1,54 @@
+-- ============================================================================
+-- V31 — Corrige les colonnes legacy NOT NULL de la table notifications
+--
+-- V1 a créé les colonnes suivantes avec NOT NULL :
+--   - destinataire_id UUID
+--   - titre VARCHAR(255)
+--
+-- L'entité Java Notification utilise désormais membre_id et sujet/corps, mais
+-- les anciennes colonnes sont restées NOT NULL → les INSERTs depuis l'entité
+-- échouent avec 23502 (violation NOT NULL).
+--
+-- Fix : rendre ces colonnes nullables (on ne les utilise plus depuis l'entité).
+-- ============================================================================
+
+-- 1. destinataire_id : rendre nullable
+DO $$
+BEGIN
+    IF EXISTS (
+        SELECT 1 FROM information_schema.columns
+        WHERE table_name = 'notifications'
+          AND column_name = 'destinataire_id'
+          AND is_nullable = 'NO'
+    ) THEN
+        ALTER TABLE notifications ALTER COLUMN destinataire_id DROP NOT NULL;
+    END IF;
+END $$;
+
+-- 2. titre : rendre nullable (remplacé par sujet)
+DO $$
+BEGIN
+    IF EXISTS (
+        SELECT 1 FROM information_schema.columns
+        WHERE table_name = 'notifications'
+          AND column_name = 'titre'
+          AND is_nullable = 'NO'
+    ) THEN
+        ALTER TABLE notifications ALTER COLUMN titre DROP NOT NULL;
+    END IF;
+END $$;
+
+-- 3. nombre_tentatives : rendre nullable (défaut 0 déjà présent, mais NOT NULL bloque si l'entité ne le met pas)
+DO $$
+BEGIN
+    IF EXISTS (
+        SELECT 1 FROM information_schema.columns
+        WHERE table_name = 'notifications'
+          AND column_name = 'nombre_tentatives'
+          AND is_nullable = 'NO'
+    ) THEN
+        -- Garder le default mais enlever NOT NULL pour éviter les crashes si l'entité ne définit pas la valeur
+        ALTER TABLE notifications ALTER COLUMN nombre_tentatives DROP NOT NULL;
+        ALTER TABLE notifications ALTER COLUMN nombre_tentatives SET DEFAULT 0;
+    END IF;
+END $$;
Author	SHA1	Message	Date
dahoud	aebf333421	chore(dev): revert IP LAN 192.168.1.13 → 192.168.1.145	2026-04-15 20:13:02 +00:00
dahoud	aa4350ffbb	feat(members): desactiverMembre cascade complète (Keycloak, Kafka, audit, mono-admin) Refactor de MembreService.desactiverMembre en 8 étapes transactionnelles : 1. GARDE-FOU mono-admin : refuse 409 Conflict si le membre est le seul ORGADMIN d'au moins une org (évite l'orphelinage). 2. DB : actif=false + statutCompte='DESACTIVE'. 3. Adhésions actives → SUSPENDU + décrément nombreMembres. 4. MembreRole (ORGADMIN, TRESORIER...) → actif=false, dateFin=today. 5. Notifications pending (EN_ATTENTE, ECHEC_TEMPORAIRE) → ANNULEE. 6. Keycloak (lions-user-manager) : user.enabled=false → login bloqué. 7. Kafka : publishMemberDeactivated(membre) sur unionflow.members.events → consumers peuvent réagir (comptes épargne, inscriptions, approvals, etc.) 8. AuditLog MEMBRE_DESACTIVE : opérateur, timestamp, compteurs (RGPD/compliance). Côté liste : - listerMembres/compterMembres : filtre actif=true par défaut (SuperAdmin). - MembreRepository.findDistinctByOrganisationIdIn : idem pour OrgAdmin. Services ajoutés : - AuditService.logMembreDesactive - KafkaEventProducer.publishMemberDeactivated	2026-04-15 20:12:55 +00:00
dahoud	4816d1ac50	feat(security): ownership + protection anti-admin sur lifecycle membres verifierOwnershipEtProtectionAdmin() appelé sur les 5 endpoints lifecycle (radier-adhesion, archiver-adhesion, activer/suspendre/radier par membre): 1. Ownership: un ADMIN_ORGANISATION ne peut agir que sur les membres des organisations dont il est responsable (sinon 403). 2. Anti-admin: un ADMIN_ORGANISATION ne peut pas agir sur un autre ORGADMIN ou SUPERADMIN (sinon 403). 3. SUPER_ADMIN/ADMIN passent directement (accès total). Comble les failles SEC-01/SEC-02 de l'audit technique.	2026-04-15 20:12:37 +00:00
dahoud	78d8fd7cd8	feat(sync): MembreRoleSyncService + count admins dynamique - Nouveau MembreRoleSyncService.ensureOrgAdminRole : auto-crée un MembreRole ORGADMIN quand un user avec rôle Keycloak ADMIN_ORGANISATION se connecte sans entrée DB (couvre les comptes créés directement dans Keycloak). - OrganisationContextFilter appelle syncService.ensureOrgAdminRole quand le rôle Keycloak est présent mais MembreRole absent (non bloquant sur erreur). - MembreRoleRepository.countAdminsByOrganisationId : count strict (ORGADMIN + actif + dateDebut/dateFin valides) avec fallback sur codes alternatifs si strict=0. - OrganisationService.convertToResponse : nombreAdministrateurs dynamique via MembreRoleRepository (remplace le champ Organisation jamais mis à jour).	2026-04-15 20:05:49 +00:00
dahoud	e81c75b828	fix(db): V30/V31 aligner membres_roles avec entité + rendre colonnes notifications legacy nullables - V30: ajoute membre_organisation_id/organisation_id/date_debut/fin/commentaire si absents, rend membre_id nullable (legacy V1), remplace uk_membre_role par uk_mr_membre_org_role, ajoute indexes. Idempotent via DO blocks. - V31: rend destinataire_id, titre, nombre_tentatives nullables dans notifications (colonnes legacy V1 que l'entité n'utilise plus, bloquaient les INSERT).	2026-04-15 20:05:36 +00:00