feat(access): Фаза 1c — видимость курсов по классам (Фаза 1 завершена)

Миграция 052: мост «открыть все опубликованные курсы всем существующим классам»
(тип 'course' уже в CHECK из 051). courseController.list/search фильтруют курсы
для НЕпривилегированных по allowedRefs(uid,'course') (content_ref = courses.id как
TEXT); admin/teacher — все. /api/access/catalog отдаёт курсы; CONTENT_TYPES в
админ-UI = textbook,exam,sim,course → курсы управляются во всех режимах «Доступ».
Тест course-access 4/4 (allowlist+класс+privileged+каталог). Полный набор: 213 pass.

ВАЖНО: новый опубликованный курс по умолчанию закрыт (allowlist) — открыть классам
в админке. Мост сохранил видимость текущих опубликованных курсов у существующих
классов. class_courses остаётся для назначений с дедлайном (сверх видимости).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

backend/tests/course-access.test.js

@@ -0,0 +1,55 @@
+'use strict';
+/**
+ * Фаза 1c (добавочная модель): видимость курсов по классам через content_access.
+ * GET /api/courses фильтрует список для НЕпривилегированных по allowedRefs(uid,'course');
+ * admin/teacher видят все. content_ref = courses.id (как TEXT).
+ */
+const { describe, it, before, after } = require('node:test');
+const assert = require('node:assert/strict');
+const { db, getToken, inject, cleanup } = require('./setup');
+
+after(() => cleanup());
+
+describe('course access (per-class)', () => {
+  let teacher, student, classId, courseId;
+
+  before(async () => {
+    teacher = await getToken('teacher');
+    student = await getToken('student');
+    const r = db.prepare(
+      `INSERT INTO courses (subject_slug, title, is_published, created_by) VALUES ('math','Acc Course',1,?)`
+    ).run(teacher.userId);
+    courseId = Number(r.lastInsertRowid);
+
+    const cr = await inject('POST', '/api/classes', { name: 'CourseAcc Class' }, teacher.token);
+    assert.ok(cr.status < 300, JSON.stringify(cr.body));
+    classId = db.prepare('SELECT id FROM classes WHERE name = ?').get('CourseAcc Class').id;
+    await inject('POST', `/api/classes/${classId}/members`, { user_id: student.userId }, teacher.token);
+  });
+
+  const has = (body, id) => (Array.isArray(body) ? body : []).some(c => c.id === id);
+
+  it('ученик без правил не видит опубликованный курс (allowlist)', async () => {
+    const r = await inject('GET', '/api/courses', null, student.token);
+    assert.equal(r.status, 200);
+    assert.ok(!has(r.body, courseId), 'курс скрыт без правила');
+  });
+
+  it('teacher видит курс (privileged)', async () => {
+    const r = await inject('GET', '/api/courses', null, teacher.token);
+    assert.ok(has(r.body, courseId));
+  });
+
+  it('открытый классу курс виден ученику', async () => {
+    db.prepare(`INSERT OR IGNORE INTO content_access (content_type,content_ref,scope,target_id,allow)
+                VALUES ('course',?, 'class',?,1)`).run(String(courseId), classId);
+    const r = await inject('GET', '/api/courses', null, student.token);
+    assert.ok(has(r.body, courseId), 'курс виден после открытия классу');
+  });
+
+  it('каталог админки включает курсы', async () => {
+    const r = await inject('GET', '/api/access/catalog', null, teacher.token);
+    assert.ok(Array.isArray(r.body.courses), 'есть массив courses');
+    assert.ok(r.body.courses.some(c => Number(c.id) === courseId), 'наш курс в каталоге');
+  });
+});

backend/tests/setup.js

@@ -46,6 +46,7 @@ app.use('/api/questions',     require('../src/routes/questions'));
 app.use('/api/permissions',   require('../src/routes/permissions'));
 app.use('/api/access',        require('../src/routes/access'));
 app.use('/api/lab',           require('../src/routes/lab'));
+app.use('/api/courses',       require('../src/routes/courses'));
 
 // Feature-gated routes (requireFeature checks app_settings in DB)
 const { requireFeature } = require('../src/middleware/features');