kent
b39e8b5f2c
- routes/api.php: 8개 엔티티의 restore 라우트를 super.admin 미들웨어 밖으로 이동 - tenants, departments, users, menus, boards - pm/projects, pm/tasks, pm/issues - UserService.canAccessUser(): withTrashed() 적용하여 soft-deleted 사용자 권한 체크 가능 - UserPermissionService.canModifyUser(): withTrashed() 적용 (일관성 유지) 권한 정책: - 복원 (Restore): 일반관리자 가능 - 영구삭제 (Force Delete): 슈퍼관리자 전용 버그 수정: - 302 Found 에러 해결 (미들웨어 블로킹) - soft-deleted 사용자 복원 시 권한 체크 실패 해결 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>
217 lines
7.4 KiB
PHP
217 lines
7.4 KiB
PHP
<?php
|
|
|
|
namespace App\Http\Controllers\Api\Admin;
|
|
|
|
use App\Http\Controllers\Controller;
|
|
use App\Services\UserPermissionService;
|
|
use Illuminate\Http\Request;
|
|
|
|
class UserPermissionController extends Controller
|
|
{
|
|
protected UserPermissionService $userPermissionService;
|
|
|
|
public function __construct(UserPermissionService $userPermissionService)
|
|
{
|
|
$this->userPermissionService = $userPermissionService;
|
|
}
|
|
|
|
/**
|
|
* Guard 이름 검증 (일반 관리자는 API만 사용 가능)
|
|
*/
|
|
protected function getValidatedGuardName(Request $request): string
|
|
{
|
|
$guardName = $request->input('guard_name', 'api');
|
|
|
|
// 슈퍼관리자가 아니면 web guard 사용 불가
|
|
if (! auth()->user()?->is_super_admin && $guardName === 'web') {
|
|
return 'api';
|
|
}
|
|
|
|
return $guardName;
|
|
}
|
|
|
|
/**
|
|
* 사용자의 tenant_id 조회 (세션이 'all'이거나 미선택일 때 사용)
|
|
*/
|
|
protected function getEffectiveTenantId(Request $request, ?int $userId = null): ?int
|
|
{
|
|
$sessionTenantId = session('selected_tenant_id');
|
|
|
|
// 세션에 특정 테넌트가 선택되어 있으면 그것을 사용
|
|
if ($sessionTenantId && $sessionTenantId !== 'all') {
|
|
return (int) $sessionTenantId;
|
|
}
|
|
|
|
// 'all'이거나 미선택일 때는 요청에서 tenant_id를 가져옴
|
|
if ($request->has('tenant_id')) {
|
|
return (int) $request->input('tenant_id');
|
|
}
|
|
|
|
return null;
|
|
}
|
|
|
|
/**
|
|
* 권한 매트릭스 조회 (사용자 변경 시 호출)
|
|
*/
|
|
public function getMatrix(Request $request)
|
|
{
|
|
$userId = $request->input('user_id');
|
|
$guardName = $this->getValidatedGuardName($request);
|
|
|
|
if (! $userId) {
|
|
return view('user-permissions.partials.empty-state');
|
|
}
|
|
|
|
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 권한 조회 불가
|
|
if (! $this->userPermissionService->canModifyUser($userId)) {
|
|
return response()->json([
|
|
'success' => false,
|
|
'message' => '슈퍼관리자의 권한은 조회할 수 없습니다.',
|
|
], 403);
|
|
}
|
|
|
|
// 사용자의 tenant_id로 메뉴 필터링
|
|
$tenantId = $this->getEffectiveTenantId($request, $userId);
|
|
|
|
// 메뉴 트리 조회 (테넌트 기준)
|
|
$menus = $this->userPermissionService->getMenuTree($tenantId);
|
|
|
|
// 권한 매트릭스 조회
|
|
$permissions = $this->userPermissionService->getUserPermissionMatrix($userId, $tenantId, $guardName);
|
|
|
|
return view('user-permissions.partials.permission-matrix', [
|
|
'menus' => $menus,
|
|
'permissions' => $permissions,
|
|
'userId' => $userId,
|
|
]);
|
|
}
|
|
|
|
/**
|
|
* 권한 토글
|
|
*/
|
|
public function toggle(Request $request)
|
|
{
|
|
$userId = $request->input('user_id');
|
|
$menuId = $request->input('menu_id');
|
|
$permissionType = $request->input('permission_type');
|
|
$guardName = $this->getValidatedGuardName($request);
|
|
$tenantId = $this->getEffectiveTenantId($request, $userId);
|
|
|
|
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 권한 수정 불가
|
|
if (! $this->userPermissionService->canModifyUser($userId)) {
|
|
return response()->json([
|
|
'success' => false,
|
|
'message' => '슈퍼관리자의 권한은 수정할 수 없습니다.',
|
|
], 403);
|
|
}
|
|
|
|
$newValue = $this->userPermissionService->togglePermission(
|
|
$userId,
|
|
$menuId,
|
|
$permissionType,
|
|
$tenantId,
|
|
$guardName
|
|
);
|
|
|
|
// 전체 매트릭스 다시 로드
|
|
$menus = $this->userPermissionService->getMenuTree($tenantId);
|
|
$permissions = $this->userPermissionService->getUserPermissionMatrix($userId, $tenantId, $guardName);
|
|
|
|
return view('user-permissions.partials.permission-matrix', [
|
|
'menus' => $menus,
|
|
'permissions' => $permissions,
|
|
'userId' => $userId,
|
|
]);
|
|
}
|
|
|
|
/**
|
|
* 전체 허용
|
|
*/
|
|
public function allowAll(Request $request)
|
|
{
|
|
$userId = $request->input('user_id');
|
|
$guardName = $this->getValidatedGuardName($request);
|
|
$tenantId = $this->getEffectiveTenantId($request, $userId);
|
|
|
|
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 권한 수정 불가
|
|
if (! $this->userPermissionService->canModifyUser($userId)) {
|
|
return response()->json([
|
|
'success' => false,
|
|
'message' => '슈퍼관리자의 권한은 수정할 수 없습니다.',
|
|
], 403);
|
|
}
|
|
|
|
$this->userPermissionService->allowAllPermissions($userId, $tenantId, $guardName);
|
|
|
|
// 전체 매트릭스 다시 로드
|
|
$menus = $this->userPermissionService->getMenuTree($tenantId);
|
|
$permissions = $this->userPermissionService->getUserPermissionMatrix($userId, $tenantId, $guardName);
|
|
|
|
return view('user-permissions.partials.permission-matrix', [
|
|
'menus' => $menus,
|
|
'permissions' => $permissions,
|
|
'userId' => $userId,
|
|
]);
|
|
}
|
|
|
|
/**
|
|
* 전체 거부
|
|
*/
|
|
public function denyAll(Request $request)
|
|
{
|
|
$userId = $request->input('user_id');
|
|
$guardName = $this->getValidatedGuardName($request);
|
|
$tenantId = $this->getEffectiveTenantId($request, $userId);
|
|
|
|
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 권한 수정 불가
|
|
if (! $this->userPermissionService->canModifyUser($userId)) {
|
|
return response()->json([
|
|
'success' => false,
|
|
'message' => '슈퍼관리자의 권한은 수정할 수 없습니다.',
|
|
], 403);
|
|
}
|
|
|
|
$this->userPermissionService->denyAllPermissions($userId, $tenantId, $guardName);
|
|
|
|
// 전체 매트릭스 다시 로드
|
|
$menus = $this->userPermissionService->getMenuTree($tenantId);
|
|
$permissions = $this->userPermissionService->getUserPermissionMatrix($userId, $tenantId, $guardName);
|
|
|
|
return view('user-permissions.partials.permission-matrix', [
|
|
'menus' => $menus,
|
|
'permissions' => $permissions,
|
|
'userId' => $userId,
|
|
]);
|
|
}
|
|
|
|
/**
|
|
* 기본 권한으로 초기화 (view만 허용)
|
|
*/
|
|
public function reset(Request $request)
|
|
{
|
|
$userId = $request->input('user_id');
|
|
$guardName = $this->getValidatedGuardName($request);
|
|
$tenantId = $this->getEffectiveTenantId($request, $userId);
|
|
|
|
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 권한 수정 불가
|
|
if (! $this->userPermissionService->canModifyUser($userId)) {
|
|
return response()->json([
|
|
'success' => false,
|
|
'message' => '슈퍼관리자의 권한은 수정할 수 없습니다.',
|
|
], 403);
|
|
}
|
|
|
|
$this->userPermissionService->resetToDefaultPermissions($userId, $tenantId, $guardName);
|
|
|
|
// 전체 매트릭스 다시 로드
|
|
$menus = $this->userPermissionService->getMenuTree($tenantId);
|
|
$permissions = $this->userPermissionService->getUserPermissionMatrix($userId, $tenantId, $guardName);
|
|
|
|
return view('user-permissions.partials.permission-matrix', [
|
|
'menus' => $menus,
|
|
'permissions' => $permissions,
|
|
'userId' => $userId,
|
|
]);
|
|
}
|
|
}
|