maxim.dolgolyov/Learn_System
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(permissions): +10 прав ролей с энфорсом (Доступ · роли)

Browse Source 
Реестр (registry.js) пополнен правами, которыми раньше нельзя было управлять:
• Учитель: classroom.host (онлайн-уроки), livequiz.host (живые викторины),
  simbuilder.use (конструктор симуляций), flashcards.manage (общие колоды).
• Ученик: homework.submit (сдача ДЗ), materials.save («Мои материалы»),
  assistant.use (ИИ-ассистент), games.play (учебные игры),
  flashcards.access / exam.access (доступ к разделам).
Все default=1 → текущее поведение сохранено; админ может выключить по роли/классу/юзеру.

Энфорс на роутах: учительские — requirePermission (роуты уже teacher-only);
ученические на ОБЩИХ роутах (assistant/materials/games/flashcards/exam-prep) —
новый requirePermissionForStudents(key) (учитель/админ проходят всегда, проверка
только ученику — иначе isEnabled=false сломал бы учителя). PERM_DEFAULTS строится
из реестра → фолбэк до сидирования = enabled, никто не блокируется. Группы UI —
существующие (новых ярлыков нет). seedDefaults авто-сидит новые ключи на чтении.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
Maxim Dolgolyov
2026-06-22 17:31:00 +03:00
parent 54be84e74a
commit d5fbd0168e
11 changed files with 109 additions and 25 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/routes/flashcards.js
+6 -3
View File
@@ -5,7 +5,7 @@ const path = require('path');
const fs = require('fs');
const crypto = require('crypto');
const fc = require('../controllers/flashcardController');
const { authMiddleware, requireRole } = require('../middleware/auth');
const { authMiddleware, requireRole, requirePermission, requirePermissionForStudents } = require('../middleware/auth');
const { requireOwnership } = require('../middleware/ownership');
/* ── multer для картинок карточек ───────────────────────────────────────
@@ -30,6 +30,9 @@ const fcUpload = multer({
});
router.use(authMiddleware);
// Ролевой доступ к разделу флеш-карт: ученик без права flashcards.access закрыт;
// учитель/админ проходят всегда (создают и раздают колоды).
router.use(requirePermissionForStudents('flashcards.access'));
router.post ('/upload', fcUpload.single('file'), fc.uploadImage);
@@ -45,8 +48,8 @@ router.post ('/decks/:id/cards/bulk', fc.addCardsBulk);
router.put ('/decks/:id/reorder', requireOwnership({ table: 'flashcard_decks', ownerField: 'user_id' }), fc.reorderCards);
// Шаринг колоды (назначение классу/ученику) — только владелец/админ (проверка в хендлере).
router.get ('/decks/:id/shares', fc.listShares);
router.post ('/decks/:id/share', requireRole('teacher','admin'), fc.addShare);
router.delete('/decks/:id/share', requireRole('teacher','admin'), fc.removeShare);
router.post ('/decks/:id/share', requireRole('teacher','admin'), requirePermission('flashcards.manage'), fc.addShare);
router.delete('/decks/:id/share', requireRole('teacher','admin'), requirePermission('flashcards.manage'), fc.removeShare);
router.get ('/decks/:id/study', fc.getStudySession);
router.put ('/cards/:id', fc.updateCard);
router.delete('/cards/:id', fc.deleteCard);