SamProject/sam-manage
6
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
b39e8b5f2c4e57433e82499ca7ea6221e9b67f90
sam-manage/app/Http/Controllers/Api/Admin/UserController.php
kent b39e8b5f2c fix: [users] 슈퍼관리자 보호 기능 복원 라우트 수정 
- routes/api.php: 8개 엔티티의 restore 라우트를 super.admin 미들웨어 밖으로 이동
  - tenants, departments, users, menus, boards
  - pm/projects, pm/tasks, pm/issues
- UserService.canAccessUser(): withTrashed() 적용하여 soft-deleted 사용자 권한 체크 가능
- UserPermissionService.canModifyUser(): withTrashed() 적용 (일관성 유지)

권한 정책:
- 복원 (Restore): 일반관리자 가능
- 영구삭제 (Force Delete): 슈퍼관리자 전용

버그 수정:
- 302 Found 에러 해결 (미들웨어 블로킹)
- soft-deleted 사용자 복원 시 권한 체크 실패 해결

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
2025-12-01 00:13:12 +09:00

261 lines
8.0 KiB
PHP
Raw Blame History

<?php
namespace App\Http\Controllers\Api\Admin;
use App\Http\Controllers\Controller;
use App\Http\Requests\StoreUserRequest;
use App\Http\Requests\UpdateUserRequest;
use App\Services\UserService;
use Illuminate\Http\JsonResponse;
use Illuminate\Http\Request;
class UserController extends Controller
{
public function __construct(
private readonly UserService $userService
) {}
/**
* 사용자 목록 조회
*/
public function index(Request $request): JsonResponse
{
$users = $this->userService->getUsers(
$request->all(),
$request->integer('per_page', 10)
);
// HTMX 요청인 경우 HTML 반환
if ($request->header('HX-Request')) {
$html = view('users.partials.table', compact('users'))->render();
return response()->json(['html' => $html]);
}
// 일반 API 요청인 경우 JSON 반환
return response()->json([
'success' => true,
'data' => $users->items(),
'meta' => [
'current_page' => $users->currentPage(),
'last_page' => $users->lastPage(),
'per_page' => $users->perPage(),
'total' => $users->total(),
],
]);
}
/**
* 사용자 상세 조회
*/
public function show(int $id): JsonResponse
{
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 정보 조회 불가
if (! $this->userService->canAccessUser($id)) {
return response()->json([
'success' => false,
'message' => '사용자를 찾을 수 없습니다.',
], 404);
}
$user = $this->userService->getUserById($id);
if (! $user) {
return response()->json([
'success' => false,
'message' => '사용자를 찾을 수 없습니다.',
], 404);
}
return response()->json([
'success' => true,
'data' => $user,
]);
}
/**
* 사용자 생성
*/
public function store(StoreUserRequest $request): JsonResponse
{
try {
$user = $this->userService->createUser($request->validated());
return response()->json([
'success' => true,
'message' => '사용자가 생성되었습니다.',
'data' => $user,
'redirect' => route('users.index'),
], 201);
} catch (\Exception $e) {
return response()->json([
'success' => false,
'message' => '사용자 생성에 실패했습니다: '.$e->getMessage(),
], 500);
}
}
/**
* 사용자 수정
*/
public function update(UpdateUserRequest $request, int $id): JsonResponse
{
try {
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자를 수정하려는 경우 차단
$targetUser = $this->userService->getUserById($id);
if ($targetUser?->is_super_admin && ! auth()->user()?->is_super_admin) {
return response()->json([
'success' => false,
'message' => '슈퍼관리자는 수정할 수 없습니다.',
], 403);
}
$result = $this->userService->updateUser($id, $request->validated());
if (! $result) {
return response()->json([
'success' => false,
'message' => '사용자를 찾을 수 없습니다.',
], 404);
}
return response()->json([
'success' => true,
'message' => '사용자가 수정되었습니다.',
'redirect' => route('users.index'),
]);
} catch (\Exception $e) {
return response()->json([
'success' => false,
'message' => '사용자 수정에 실패했습니다: '.$e->getMessage(),
], 500);
}
}
/**
* 사용자 삭제
*/
public function destroy(int $id): JsonResponse
{
try {
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자를 삭제하려는 경우 차단
$targetUser = $this->userService->getUserById($id);
if ($targetUser?->is_super_admin && ! auth()->user()?->is_super_admin) {
return response()->json([
'success' => false,
'message' => '슈퍼관리자는 삭제할 수 없습니다.',
], 403);
}
$result = $this->userService->deleteUser($id);
if (! $result) {
return response()->json([
'success' => false,
'message' => '사용자를 찾을 수 없습니다.',
], 404);
}
return response()->json([
'success' => true,
'message' => '사용자가 삭제되었습니다.',
]);
} catch (\Exception $e) {
return response()->json([
'success' => false,
'message' => '사용자 삭제에 실패했습니다: '.$e->getMessage(),
], 500);
}
}
/**
* 사용자 복원
*/
public function restore(Request $request, int $id): JsonResponse
{
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 복원 불가 (존재하지 않는 것처럼)
if (! $this->userService->canAccessUser($id)) {
return response()->json([
'success' => false,
'message' => '사용자를 찾을 수 없습니다.',
], 404);
}
$this->userService->restoreUser($id);
// HTMX 요청 시 테이블 새로고침 트리거
if ($request->header('HX-Request')) {
return response()->json([
'success' => true,
'message' => '사용자가 복원되었습니다.',
'action' => 'refresh',
]);
}
return response()->json([
'success' => true,
'message' => '사용자가 복원되었습니다.',
]);
}
/**
* 사용자 모달 정보 조회
*/
public function modal(Request $request, int $id): JsonResponse
{
// 슈퍼관리자 보호: 일반관리자가 슈퍼관리자 정보 조회 불가
if (! $this->userService->canAccessUser($id)) {
return response()->json([
'success' => false,
'message' => '사용자를 찾을 수 없습니다.',
], 404);
}
$user = $this->userService->getUserForModal($id);
if (! $user) {
return response()->json([
'success' => false,
'message' => '사용자를 찾을 수 없습니다.',
], 404);
}
$html = view('users.partials.modal-info', compact('user'))->render();
return response()->json([
'success' => true,
'html' => $html,
]);
}
/**
* 사용자 영구 삭제 (슈퍼관리자 전용)
*/
public function forceDestroy(Request $request, int $id): JsonResponse
{
// 슈퍼관리자 권한 체크
if (! auth()->user()?->is_super_admin) {
return response()->json([
'success' => false,
'message' => '권한이 없습니다.',
], 403);
}
$this->userService->forceDeleteUser($id);
// HTMX 요청 시 테이블 새로고침 트리거
if ($request->header('HX-Request')) {
return response()->json([
'success' => true,
'message' => '사용자가 영구 삭제되었습니다.',
'action' => 'refresh',
]);
}
return response()->json([
'success' => true,
'message' => '사용자가 영구 삭제되었습니다.',
]);
}
}
Reference in New Issue View Git Blame Copy Permalink