maxim.dolgolyov/Learn_System
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(permissions): B6 — массовая выдача права классу (личный оверрайд всем ученикам)

Browse Source 
POST /api/permissions/class/:id/bulk { permission, enabled } (admin, явный
requireRole) — выставляет user_permissions всем ученикам класса (1/0/null=сброс),
точечный token_version bump каждому. Валидация: только студенческие ключи.
Клиент LS.setClassPermission. В админке «Доступ · роли» — блок «Массово по
классу»: выбор класса → у каждого права «включить/выключить всем / сбросить».
Тест: оверрайд всем + сброс + отклонение teacher-ключа. Backend 221 pass.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
Maxim Dolgolyov
2026-06-03 14:27:58 +03:00
parent 0b0c113181
commit b95b639e75
6 changed files with 118 additions and 3 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/controllers/permissionsController.js
+31 -1
View File
@@ -157,6 +157,36 @@ function resetUserPermissions(req, res) {
res.json({ ok: true });
}
/* ── POST /api/permissions/class/:id/bulk { permission, enabled } ──────────
Выставить личное правило (user_permissions) сразу всем ученикам класса.
enabled: 1 (вкл) | 0 (выкл) | null/'inherit' (снять оверрайд → наследование роли). */
function setClassPermission(req, res) {
const cid = Number(req.params.id);
const { permission } = req.body || {};
let { enabled } = req.body || {};
if (!Number.isInteger(cid) || cid <= 0) return res.status(400).json({ error: 'неверный id класса' });
if (!ALL_PERMISSIONS.find(p => p.key === permission && p.role === 'student'))
return res.status(400).json({ error: 'Unknown student permission' });
const members = db.prepare(`
SELECT u.id FROM class_members cm JOIN users u ON u.id = cm.user_id
WHERE cm.class_id = ? AND u.role IN ('student','free_student')`).all(cid);
const inherit = (enabled === null || enabled === undefined || enabled === 'inherit');
const val = (enabled === 1 || enabled === true || enabled === '1') ? 1 : 0;
const del = db.prepare('DELETE FROM user_permissions WHERE user_id = ? AND permission = ?');
const up = db.prepare('INSERT OR REPLACE INTO user_permissions (user_id, permission, enabled) VALUES (?, ?, ?)');
const bump = db.prepare('UPDATE users SET token_version = token_version + 1 WHERE id = ?');
db.transaction(() => {
for (const m of members) {
if (inherit) del.run(m.id, permission); else up.run(m.id, permission, val);
bump.run(m.id); // user-level: точечно обновляем сессию каждого затронутого ученика
}
})();
audit(req, 'permission.class_bulk', `class:${cid}/${permission}`, inherit ? 'inherit' : `enabled=${val}`);
res.json({ ok: true, affected: members.length });
}
/* ── GET /api/permissions/log?user_id= — история изменений прав (admin) ── */
function getPermissionLog(req, res) {
const uid = req.query.user_id ? Number(req.query.user_id) : null;
@@ -195,4 +225,4 @@ function getPermissionLog(req, res) {
res.json(out);
}
module.exports = { getPermissions, setPermission, seedDefaults, ALL_PERMISSIONS, getMyPermissions, getUserPermissions, setUserPermission, resetUserPermissions, getPermissionLog };
module.exports = { getPermissions, setPermission, seedDefaults, ALL_PERMISSIONS, getMyPermissions, getUserPermissions, setUserPermission, resetUserPermissions, getPermissionLog, setClassPermission };