Maxim Dolgolyov
d5fbd0168e
Реестр (registry.js) пополнен правами, которыми раньше нельзя было управлять: • Учитель: classroom.host (онлайн-уроки), livequiz.host (живые викторины), simbuilder.use (конструктор симуляций), flashcards.manage (общие колоды). • Ученик: homework.submit (сдача ДЗ), materials.save («Мои материалы»), assistant.use (ИИ-ассистент), games.play (учебные игры), flashcards.access / exam.access (доступ к разделам). Все default=1 → текущее поведение сохранено; админ может выключить по роли/классу/юзеру. Энфорс на роутах: учительские — requirePermission (роуты уже teacher-only); ученические на ОБЩИХ роутах (assistant/materials/games/flashcards/exam-prep) — новый requirePermissionForStudents(key) (учитель/админ проходят всегда, проверка только ученику — иначе isEnabled=false сломал бы учителя). PERM_DEFAULTS строится из реестра → фолбэк до сидирования = enabled, никто не блокируется. Группы UI — существующие (новых ярлыков нет). seedDefaults авто-сидит новые ключи на чтении. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
29 lines
1.4 KiB
JavaScript
29 lines
1.4 KiB
JavaScript
'use strict';
|
|
const express = require('express');
|
|
const router = express.Router();
|
|
const { authMiddleware, requireRole, requirePermissionForStudents } = require('../middleware/auth');
|
|
const c = require('../controllers/studentMaterialsController');
|
|
|
|
router.use(authMiddleware);
|
|
|
|
// Teacher hands a material out to a class/student (copies to recipients)
|
|
router.post('/:id/share', requireRole('teacher', 'admin'), c.share);
|
|
|
|
router.get('/', c.list);
|
|
// Сохранение в «Мои материалы»: ученик без права materials.save закрыт, учитель/админ проходят.
|
|
router.post('/', requirePermissionForStudents('materials.save'), c.create);
|
|
|
|
// Collections (folders) — literal '/collections' prefix before '/:id'
|
|
router.post('/collections', c.createCollection);
|
|
// @public-by-design: router-level authMiddleware (above) + per-row ownership check in handler
|
|
router.patch('/collections/:id', c.updateCollection);
|
|
// @public-by-design: router-level authMiddleware (above) + per-row ownership check in handler
|
|
router.delete('/collections/:id', c.deleteCollection);
|
|
|
|
// @public-by-design: router-level authMiddleware (above) + per-row ownership check in handler
|
|
router.patch('/:id', c.update);
|
|
// @public-by-design: router-level authMiddleware (above) + per-row ownership check in handler
|
|
router.delete('/:id', c.remove);
|
|
|
|
module.exports = router;
|