b30ae0f10a
Cette mise à jour verrouille l'accès direct à Firestore depuis le client pour renforcer la sécurité et introduit une gestion complète des prix HT/TTC dans toute l'application. Elle apporte également des améliorations significatives des permissions, des optimisations de performance et de nouvelles fonctionnalités.
### Sécurité et Backend
- **Firestore Rules :** Ajout de `firestore.rules` qui bloque par défaut tous les accès en lecture/écriture depuis le client. Toutes les opérations de données doivent maintenant passer par les Cloud Functions, renforçant considérablement la sécurité.
- **Index Firestore :** Création d'un fichier `firestore.indexes.json` pour optimiser les requêtes sur la collection `events`.
- **Cloud Functions :** Les fonctions de création/mise à jour d'événements ont été adaptées pour accepter des ID de documents (utilisateurs, type d'événement) et les convertir en `DocumentReference` côté serveur, simplifiant les appels depuis le client.
### Gestion des Prix HT/TTC
- **Calcul Automatisé :** Introduction d'un helper `PriceHelpers` et d'un widget `PriceHtTtcFields` pour calculer et synchroniser automatiquement les prix HT et TTC dans le formulaire d'événement.
- **Affichage Détaillé :**
- Les détails des événements et des options affichent désormais les prix HT, la TVA et le TTC séparément pour plus de clarté.
- Le prix de base (`basePrice`) est maintenant traité comme un prix TTC dans toute l'application.
### Permissions et Rôles
- **Centralisation (`AppPermission`) :** Création d'une énumération `AppPermission` pour centraliser toutes les permissions de l'application, avec descriptions et catégories.
- **Rôles Prédéfinis :** Définition de rôles standards (Admin, Manager, Technicien, User) avec des jeux de permissions prédéfinis.
- **Filtre par Utilisateur :** Ajout d'un filtre par utilisateur sur la page Calendrier, visible uniquement pour les utilisateurs ayant la permission `view_all_user_events`.
### Améliorations et Optimisations (Frontend)
- **`DebugLog` :** Ajout d'un utilitaire `DebugLog` pour gérer les logs, qui sont automatiquement désactivés en mode production.
- **Optimisation du Sélecteur d'Équipement :**
- La boîte de dialogue de sélection d'équipement a été lourdement optimisée pour éviter les reconstructions complètes de la liste lors de la sélection/désélection d'items.
- Utilisation de `ValueNotifier` et de caches locaux (`_cachedContainers`, `_cachedEquipment`) pour des mises à jour d'UI plus ciblées et fluides.
- La position du scroll est désormais préservée.
- **Catégorie d'Équipement :** Ajout de la catégorie `Vehicle` (Véhicule) pour les équipements.
- **Formulaires :** Les formulaires de création/modification d'événements et d'équipements ont été nettoyés de leurs logs de débogage excessifs.
173 lines
6.8 KiB
Plaintext
173 lines
6.8 KiB
Plaintext
rules_version = '2';
|
|
|
|
// ============================================================================
|
|
// RÈGLES FIRESTORE SÉCURISÉES - VERSION PRODUCTION
|
|
// ============================================================================
|
|
// Date de création : 14 janvier 2026
|
|
// Objectif : Bloquer tous les accès directs à Firestore depuis les clients
|
|
// Seules les Cloud Functions (côté serveur) peuvent lire/écrire les données
|
|
// ============================================================================
|
|
|
|
service cloud.firestore {
|
|
match /databases/{database}/documents {
|
|
|
|
// ========================================================================
|
|
// RÈGLE GLOBALE PAR DÉFAUT : TOUT BLOQUER
|
|
// ========================================================================
|
|
// Cette règle empêche tout accès direct depuis les clients (web/mobile)
|
|
// Les Cloud Functions ont un accès admin et ne sont pas affectées
|
|
|
|
match /{document=**} {
|
|
// ❌ REFUSER TOUS LES ACCÈS directs depuis les clients
|
|
allow read, write: if false;
|
|
}
|
|
|
|
// ========================================================================
|
|
// EXCEPTIONS OPTIONNELLES pour les listeners temps réel
|
|
// ========================================================================
|
|
// Si vous avez besoin de listeners en temps réel pour certaines collections,
|
|
// décommentez les règles ci-dessous.
|
|
//
|
|
// ⚠️ IMPORTANT : Ces règles permettent UNIQUEMENT la LECTURE.
|
|
// Toutes les ÉCRITURES doivent passer par les Cloud Functions.
|
|
// ========================================================================
|
|
|
|
/*
|
|
// Événements : Lecture seule pour utilisateurs authentifiés
|
|
match /events/{eventId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Équipements : Lecture seule pour utilisateurs authentifiés
|
|
match /equipments/{equipmentId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Conteneurs : Lecture seule pour utilisateurs authentifiés
|
|
match /containers/{containerId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Maintenances : Lecture seule pour utilisateurs authentifiés
|
|
match /maintenances/{maintenanceId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Alertes : Lecture seule pour utilisateurs authentifiés
|
|
match /alerts/{alertId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Utilisateurs : Lecture de son propre profil uniquement
|
|
match /users/{userId} {
|
|
allow read: if request.auth != null && request.auth.uid == userId;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Types d'événements : Lecture seule
|
|
match /eventTypes/{typeId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Options : Lecture seule
|
|
match /options/{optionId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Clients : Lecture seule
|
|
match /customers/{customerId} {
|
|
allow read: if request.auth != null;
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
*/
|
|
|
|
// ========================================================================
|
|
// RÈGLES AVANCÉES avec vérification des permissions (OPTIONNEL)
|
|
// ========================================================================
|
|
// Décommentez ces règles si vous voulez des permissions basées sur les rôles
|
|
// pour la lecture en temps réel
|
|
//
|
|
// ⚠️ ATTENTION : Ces règles nécessitent une lecture supplémentaire dans
|
|
// la collection users, ce qui peut impacter les performances et les coûts.
|
|
// ========================================================================
|
|
|
|
/*
|
|
// Fonction helper : Récupérer les permissions de l'utilisateur
|
|
function getUserPermissions() {
|
|
return get(/databases/$(database)/documents/users/$(request.auth.uid)).data.permissions;
|
|
}
|
|
|
|
// Fonction helper : Vérifier si l'utilisateur a une permission
|
|
function hasPermission(permission) {
|
|
return request.auth != null && permission in getUserPermissions();
|
|
}
|
|
|
|
// Équipements : Lecture uniquement si permission view_equipment
|
|
match /equipments/{equipmentId} {
|
|
allow read: if hasPermission('view_equipment') || hasPermission('manage_equipment');
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Événements : Lecture selon permissions
|
|
match /events/{eventId} {
|
|
allow read: if hasPermission('view_events') || hasPermission('edit_event');
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Conteneurs : Lecture uniquement si permission view_equipment
|
|
match /containers/{containerId} {
|
|
allow read: if hasPermission('view_equipment') || hasPermission('manage_equipment');
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
|
|
// Maintenances : Lecture uniquement si permission view_equipment
|
|
match /maintenances/{maintenanceId} {
|
|
allow read: if hasPermission('view_equipment') || hasPermission('manage_equipment');
|
|
allow write: if false; // ❌ Écriture interdite
|
|
}
|
|
*/
|
|
|
|
}
|
|
}
|
|
|
|
// ============================================================================
|
|
// NOTES DE SÉCURITÉ
|
|
// ============================================================================
|
|
//
|
|
// 1. RÈGLE PAR DÉFAUT (allow read, write: if false)
|
|
// - Bloque TOUS les accès directs depuis les clients
|
|
// - Les Cloud Functions ne sont PAS affectées (elles ont un accès admin)
|
|
// - C'est la configuration la PLUS SÉCURISÉE
|
|
//
|
|
// 2. EXCEPTIONS DE LECTURE (commentées par défaut)
|
|
// - Permettent les listeners en temps réel pour certaines collections
|
|
// - UNIQUEMENT la LECTURE est autorisée
|
|
// - Les ÉCRITURES restent bloquées (doivent passer par Cloud Functions)
|
|
//
|
|
// 3. RÈGLES BASÉES SUR LES RÔLES (commentées par défaut)
|
|
// - Permettent un contrôle plus fin basé sur les permissions utilisateur
|
|
// - ⚠️ Impact sur les performances (lecture supplémentaire de la collection users)
|
|
// - À utiliser uniquement si nécessaire
|
|
//
|
|
// 4. TESTS APRÈS DÉPLOIEMENT
|
|
// - Vérifier que les Cloud Functions fonctionnent toujours
|
|
// - Tester qu'un accès direct depuis la console échoue
|
|
// - Surveiller les logs : firebase functions:log
|
|
//
|
|
// 5. ROLLBACK EN CAS DE PROBLÈME
|
|
// - Remplacer temporairement par :
|
|
// match /{document=**} {
|
|
// allow read, write: if request.auth != null;
|
|
// }
|
|
// - Déployer rapidement : firebase deploy --only firestore:rules
|
|
//
|
|
// ============================================================================
|
|
|