einundzwanzig/einundzwanzig-app
1
0
Fork 0
mirror of https://github.com/HolgerHatGarKeineNode/einundzwanzig-app.git synced 2026-06-17 16:40:31 +00:00
Code Issues Packages Projects Releases Wiki Activity

Implement leadership-based permissions for Meetup management

Browse Source 
- 🔒 Restrict event creation, editing, and deletion to Meetup leaders (`is_leader`) and creators for consistency across APIs, frontend, and MCP.
-  Add new APIs for leader delegation: assign/remove Meetup leaders via `meetup_user.is_leader`.
- 🛠️ Replace loose member checks with specific leadership checks in policies, controllers, and views.
- 🧪 Add exhaustive tests to ensure only eligible leaders execute critical actions (e.g., event creation/edit, Meetup updates).
- 🔄 Refactor pivot relationships and models (`leadByMe`, `isLeader`) for explicit leadership handling.
-  Introduce artisan command `meetups:promote-existing-leaders` to transition legacy data.
This commit is contained in:
HolgerHatGarKeineNode
2026-06-16 22:04:34 +02:00
parent 39af153f52
commit 9f8fda294a
26 changed files with 691 additions and 70 deletions
Download Patch File Download Diff File Expand all files Collapse all files
app/Console/Commands/Database/PromoteExistingLeaders.php
+65
View File
@@ -0,0 +1,65 @@
<?php
namespace App\Console\Commands\Database;
use App\Models\Meetup;
use Illuminate\Console\Attributes\Description;
use Illuminate\Console\Attributes\Signature;
use Illuminate\Console\Command;
use Illuminate\Support\Facades\DB;
/**
* Einmalige Fixierung des Ist-Zustands beim Wechsel auf das Leader-Modell:
* Bisher durfte jedes „Meine Meetups"-Mitglied (meetup_user) ein Meetup über
* das Portal bearbeiten. Dieser Kreis gilt als historisch legitimiert und wird
* zu echten Leadern (meetup_user.is_leader = true) befördert. Zusätzlich wird
* sichergestellt, dass jeder Ersteller Leader seines Meetups ist (auch bei
* Alt-Meetups, die vor dem created-Hook angelegt wurden).
*
* Nach diesem Lauf berechtigt nur noch is_leader = true zum Bearbeiten; frisch
* über addToMine hinzugefügte Mitglieder bleiben is_leader = false.
*/
#[Signature('meetups:promote-existing-leaders {--dry-run : Nur anzeigen, nichts schreiben}')]
#[Description('Befördert alle bestehenden meetup_user-Mitglieder zu Leadern (Ist-Zustand fixieren) und sichert die Ersteller-Leaderschaft.')]
class PromoteExistingLeaders extends Command
{
public function handle(): int
{
$dryRun = (bool) $this->option('dry-run');
$memberRows = DB::table('meetup_user')->where('is_leader', false)->count();
$missingCreators = Meetup::query()
->whereNotNull('created_by')
->whereDoesntHave('users', function ($query): void {
$query->whereColumn('users.id', 'meetups.created_by');
})
->count();
if ($dryRun) {
$this->info("Dry-Run: {$memberRows} Mitglieder würden zu Leadern befördert.");
$this->info("Dry-Run: {$missingCreators} fehlende Ersteller-Mitgliedschaften würden ergänzt (als Leader).");
return Command::SUCCESS;
}
DB::table('meetup_user')->where('is_leader', false)->update(['is_leader' => true]);
$ensured = 0;
Meetup::query()
->whereNotNull('created_by')
->chunkById(200, function ($meetups) use (&$ensured): void {
foreach ($meetups as $meetup) {
$meetup->users()->syncWithoutDetaching([
$meetup->created_by => ['is_leader' => true],
]);
$ensured++;
}
});
$this->info("{$memberRows} Mitglieder zu Leadern befördert.");
$this->info("Ersteller-Leaderschaft für {$ensured} Meetups sichergestellt.");
return Command::SUCCESS;
}
}
app/Http/Controllers/Api/MeetupLeaderController.php
+98
View File
@@ -0,0 +1,98 @@
<?php
namespace App\Http\Controllers\Api;
use App\Http\Controllers\Controller;
use App\Http\Requests\Api\StoreMeetupLeaderRequest;
use App\Models\Meetup;
use App\Models\User;
use App\Support\NostrLogin;
use Dedoc\Scramble\Attributes\Group;
use Dedoc\Scramble\Attributes\Response;
use Illuminate\Http\JsonResponse;
use Illuminate\Support\Facades\Gate;
use Symfony\Component\HttpFoundation\Response as HttpResponse;
/**
* Leader-Delegation für Meetups: ein bestehender Leader (bzw. Ersteller/
* Super-Admin) verwaltet die Leader eines Meetups (meetup_user.is_leader).
* Leader dürfen die Stammdaten bearbeiten siehe MeetupPolicy::update().
*/
#[Group(name: 'Meetups', weight: 3)]
class MeetupLeaderController extends Controller
{
/**
* Leader auflisten
*
* Liefert alle Leader eines Meetups (id, name, nostr, avatar, is_creator).
* Nur für Leader des Meetups sichtbar.
*/
#[Response(status: 403, description: 'Nur ein Leader darf die Leader-Liste sehen.')]
public function index(Meetup $meetup): JsonResponse
{
Gate::authorize('manageLeaders', $meetup);
return response()->json(['data' => $this->leaders($meetup)]);
}
/**
* Leader einsetzen
*
* Setzt den Nutzer mit dem angegebenen npub als Leader ein. Existiert noch
* kein Account für den npub, wird er angelegt (greift, sobald die Person sich
* erstmals einloggt). Idempotent: ein bereits gesetzter Leader bleibt Leader.
*/
#[Response(status: 403, description: 'Nur ein Leader darf weitere Leader einsetzen.')]
#[Response(status: 422, description: 'Ungültiger npub.')]
public function store(StoreMeetupLeaderRequest $request, Meetup $meetup): JsonResponse
{
$user = NostrLogin::findOrCreateUser($request->string('npub')->toString());
$meetup->users()->syncWithoutDetaching([
$user->getKey() => ['is_leader' => true],
]);
return response()->json(['data' => $this->leaders($meetup)], HttpResponse::HTTP_CREATED);
}
/**
* Leader entziehen
*
* Entzieht dem Nutzer die Leader-Rolle für dieses Meetup (Demote: bleibt
* Mitglied in „Meine Meetups", darf aber nicht mehr bearbeiten). Der
* Ersteller des Meetups kann nie entzogen werden.
*/
#[Response(status: 403, description: 'Nur ein Leader darf entziehen; der Ersteller ist geschützt.')]
public function destroy(Meetup $meetup, User $user): JsonResponse
{
Gate::authorize('manageLeaders', $meetup);
abort_if($user->getKey() === $meetup->created_by, HttpResponse::HTTP_FORBIDDEN, __('Der Ersteller des Meetups kann nicht entzogen werden.'));
$meetup->users()->updateExistingPivot($user->getKey(), ['is_leader' => false]);
return response()->json(['data' => $this->leaders($meetup)]);
}
/**
* Leader-Liste als flaches Array (Ersteller zuerst).
*
* @return array<int, array<string, mixed>>
*/
private function leaders(Meetup $meetup): array
{
return $meetup->users()
->wherePivot('is_leader', true)
->get()
->map(fn (User $user): array => [
'id' => $user->getKey(),
'name' => $user->name,
'nostr' => $user->nostr,
'avatar' => $user->profile_photo_url,
'is_creator' => $user->getKey() === $meetup->created_by,
])
->sortByDesc('is_creator')
->values()
->all();
}
}
app/Http/Controllers/Api/UserController.php
+3 -1
View File
@@ -51,7 +51,9 @@ class UserController extends Controller
'email' => $user->email,
'nostr' => $user->nostr,
'is_lecturer' => (bool) $user->is_lecturer,
'is_leader' => (bool) $user->is_leader,
// Leader-Rolle ist pro Meetup (meetup_user.is_leader); global = ist
// der Nutzer Leader IRGENDEINES Meetups. Treibt das Rollen-Badge.
'is_leader' => $user->meetups()->wherePivot('is_leader', true)->exists(),
'avatar' => $user->profile_photo_url,
];
}
app/Http/Requests/Api/StoreMeetupEventRequest.php
+10 -2
View File
@@ -3,15 +3,23 @@
namespace App\Http\Requests\Api;
use App\Enums\RecurrenceType;
use App\Models\MeetupEvent;
use App\Models\Meetup;
use Illuminate\Foundation\Http\FormRequest;
use Illuminate\Validation\Rule;
class StoreMeetupEventRequest extends FormRequest
{
/**
* Termine darf nur anlegen, wer das zugehörige Meetup bearbeiten darf
* (Ersteller/Leader/Super-Admin) dieselbe Berechtigung wie die
* Stammdaten. Existenz/Pflicht von meetup_id prüft rules() (422); ist ein
* gültiges Meetup angegeben, muss der Nutzer dafür berechtigt sein.
*/
public function authorize(): bool
{
return $this->user()->can('create', MeetupEvent::class);
$meetup = Meetup::find($this->input('meetup_id'));
return $meetup === null || $this->user()->can('update', $meetup);
}
/**
app/Http/Requests/Api/StoreMeetupLeaderRequest.php
+41
View File
@@ -0,0 +1,41 @@
<?php
namespace App\Http\Requests\Api;
use Closure;
use Illuminate\Foundation\Http\FormRequest;
use swentel\nostr\Key\Key as NostrKey;
/**
* Setzt einen weiteren Leader für ein Meetup per Nostr-npub ein. Nur ein
* bestehender Leader (bzw. Ersteller/Super-Admin) darf das (manageLeaders).
* Der npub muss ein gültiger bech32-kodierter öffentlicher Schlüssel sein.
*/
class StoreMeetupLeaderRequest extends FormRequest
{
public function authorize(): bool
{
return $this->user()->can('manageLeaders', $this->route('meetup'));
}
/**
* @return array<string, array<int, mixed>>
*/
public function rules(): array
{
return [
'npub' => [
'required',
'string',
'starts_with:npub1',
function (string $attribute, mixed $value, Closure $fail): void {
try {
(new NostrKey)->convertToHex((string) $value);
} catch (\Throwable) {
$fail(__('Das ist kein gültiger npub.'));
}
},
],
];
}
}
app/Http/Requests/Api/UpdateMeetupEventRequest.php
+14 -1
View File
@@ -3,14 +3,27 @@
namespace App\Http\Requests\Api;
use App\Enums\RecurrenceType;
use App\Models\Meetup;
use Illuminate\Foundation\Http\FormRequest;
use Illuminate\Validation\Rule;
class UpdateMeetupEventRequest extends FormRequest
{
/**
* Bearbeiten darf der Ersteller des Termins oder ein Leader des Meetups
* (siehe MeetupEventPolicy::update). Ein Verschieben in ein anderes Meetup
* (geändertes meetup_id) ist nur erlaubt, wenn der Nutzer auch dieses
* Ziel-Meetup führt.
*/
public function authorize(): bool
{
return $this->user()->can('update', $this->route('meetupEvent'));
if (! $this->user()->can('update', $this->route('meetupEvent'))) {
return false;
}
$target = $this->filled('meetup_id') ? Meetup::find($this->input('meetup_id')) : null;
return $target === null || $this->user()->can('update', $target);
}
/**
app/Http/Resources/MeetupResource.php
+4
View File
@@ -32,6 +32,10 @@ class MeetupResource extends JsonResource
'community' => $this->community,
'visible_on_map' => $this->visible_on_map,
'is_active' => $this->is_active,
// Nur gesetzt, wenn die meetup_user-Pivot geladen ist (z. B. via
// /api/my-meetups). Sagt der App, ob der Token-Inhaber Leader dieses
// Meetups ist (darf bearbeiten + Leader verwalten).
'is_leader' => $this->whenPivotLoaded('meetup_user', fn (): bool => (bool) $this->pivot->is_leader),
'logo' => $this->getFirstMediaUrl('logo', 'thumb'),
'last_event_at' => $this->last_event_at,
'created_by' => $this->created_by,
app/Mcp/Tools/MeetupEvent/CreateMeetupEventTool.php
+10 -1
View File
@@ -30,7 +30,7 @@ class CreateMeetupEventTool extends Tool
if (! $this->present($request->get('meetup_id'))) {
$meetup = $this->resolveInScope(
Meetup::query()->associatedWith($user->getAuthIdentifier()),
Meetup::query()->ledBy($user->getAuthIdentifier()),
$request,
'Meetups',
'meetup',
@@ -43,6 +43,15 @@ class CreateMeetupEventTool extends Tool
$request->merge(['meetup_id' => $meetup->id]);
}
// Nur Leader/Ersteller des Ziel-Meetups dürfen Termine anlegen (gleiche
// Berechtigung wie die Stammdaten). Greift auch, wenn meetup_id direkt
// übergeben wurde und damit den ledBy-Scope oben umgeht.
$targetMeetup = Meetup::find($request->get('meetup_id'));
if ($targetMeetup === null || Gate::forUser($user)->denies('update', $targetMeetup)) {
return Response::error('Nur Leader oder der Ersteller dürfen Termine für dieses Meetup anlegen.');
}
$storeRequest = new StoreMeetupEventRequest;
$validated = $request->validate(
app/Mcp/Tools/MeetupEvent/UpdateMeetupEventTool.php
+3 -3
View File
@@ -15,7 +15,7 @@ use Laravel\Mcp\Response;
use Laravel\Mcp\Server\Attributes\Description;
use Laravel\Mcp\Server\Tool;
#[Description('Aktualisiert einen bestehenden Meetup-Termin. Nur der Ersteller oder ein Super-Admin darf ihn ändern.')]
#[Description('Aktualisiert einen bestehenden Meetup-Termin. Nur der Ersteller des Termins, ein Leader des zugehörigen Meetups oder ein Super-Admin darf ihn ändern.')]
class UpdateMeetupEventTool extends Tool
{
use ResolvesEntities;
@@ -31,10 +31,10 @@ class UpdateMeetupEventTool extends Tool
$user = $request->user();
if ($user === null || Gate::forUser($user)->denies('update', $meetupEvent)) {
return Response::error('Nur der Ersteller oder ein Super-Admin darf diesen Meetup-Termin ändern.');
return Response::error('Nur der Ersteller des Termins, ein Leader des Meetups oder ein Super-Admin darf diesen Meetup-Termin ändern.');
}
if ($error = $this->mergeForeignKey($request, 'meetup', 'meetup_id', Meetup::query()->where('created_by', $user->getAuthIdentifier()), 'Meetups', false)) {
if ($error = $this->mergeForeignKey($request, 'meetup', 'meetup_id', Meetup::query()->ledBy($user->getAuthIdentifier()), 'Meetups', false)) {
return $error;
}
app/Models/Meetup.php
+39
View File
@@ -185,6 +185,19 @@ class Meetup extends Model implements HasMedia
return $this->users()->whereKey($user->id)->exists();
}
/**
* Ist der Nutzer Leader dieses Meetups (meetup_user.is_leader = true)?
* Nur Leader (und der Ersteller/Super-Admin) dürfen Stammdaten bearbeiten
* und weitere Leader einsetzen/entziehen.
*/
public function isLeader(User $user): bool
{
return $this->users()
->whereKey($user->id)
->wherePivot('is_leader', true)
->exists();
}
/**
* Den Nutzer als Mitglied (nicht Leader) zu „Meine Meetups" hinzufügen.
* Idempotent: ein bereits hinzugefügter Nutzer bleibt unverändert. Gibt
@@ -233,6 +246,32 @@ class Meetup extends Model implements HasMedia
});
}
/**
* Meetups, die der Nutzer als Leader führt (meetup_user.is_leader = true).
* Maßgeblich dafür, wer Stammdaten UND Termine bearbeiten darf.
*/
public function scopeLedBy(Builder $query, int $userId): void
{
$query->whereHas('users', fn (Builder $user) => $user->whereKey($userId)->wherePivot('is_leader', true));
}
/**
* Führt der eingeloggte Nutzer dieses Meetup als Leader? Steuert die
* Sichtbarkeit der Bearbeiten-/Termin-Affordances im Portal-Frontend
* (Gegenstück zu {@see belongsToMe()}, aber leader- statt mitgliedschafts-
* basiert).
*/
protected function leadByMe(): Attribute
{
return Attribute::make(
get: fn (): bool => auth()->check() && DB::table('meetup_user')
->where('meetup_id', $this->id)
->where('user_id', auth()->id())
->where('is_leader', true)
->exists()
);
}
public function city(): BelongsTo
{
return $this->belongsTo(City::class);
app/Models/User.php
+1 -1
View File
@@ -105,7 +105,7 @@ class User extends Authenticatable implements CipherSweetEncrypted
public function meetups()
{
return $this->belongsToMany(Meetup::class);
return $this->belongsToMany(Meetup::class)->withPivot('is_leader');
}
public function reputations()
app/Policies/MeetupEventPolicy.php
+16 -1
View File
@@ -25,8 +25,23 @@ class MeetupEventPolicy
return true;
}
/**
* Termin bearbeiten: der Ersteller des Termins ODER ein Leader des
* zugehörigen Meetups (bzw. Super-Admin). Damit dürfen Meetup-Leader die
* Termine ihres Meetups pflegen, auch wenn sie sie nicht selbst angelegt
* haben analog zur Stammdaten-Bearbeitung (MeetupPolicy::update).
*/
public function update(User $user, MeetupEvent $meetupEvent): bool
{
return $this->owns($user, $meetupEvent);
return $this->owns($user, $meetupEvent)
|| ($meetupEvent->meetup !== null && $meetupEvent->meetup->isLeader($user));
}
/**
* Termin löschen: gleiche Regel wie das Bearbeiten.
*/
public function delete(User $user, MeetupEvent $meetupEvent): bool
{
return $this->update($user, $meetupEvent);
}
}
app/Policies/MeetupPolicy.php
+14 -8
View File
@@ -58,20 +58,26 @@ class MeetupPolicy
return true;
}
/**
* Stammdaten bearbeiten: der Ersteller (bzw. Super-Admin) ODER ein
* delegierter Leader (meetup_user.is_leader = true). Die bloße
* „Meine Meetups"-Mitgliedschaft (is_leader = false) berechtigt NICHT
* mehr zum Bearbeiten Leader werden über manageLeaders() vergeben.
* Gilt einheitlich für REST-API, MCP und Portal-Frontend.
*/
public function update(User $user, Meetup $meetup): bool
{
return $this->owns($user, $meetup);
return $this->owns($user, $meetup) || $meetup->isLeader($user);
}
/**
* Gelockerte Update-Regel ausschließlich für das Portal-Frontend (Livewire):
* Neben dem Ersteller darf auch jedes Mitglied der meetup_user-Pivot
* („Meine Meetups" im Dashboard) die Stammdaten bearbeiten. REST-API und
* MCP nutzen weiterhin die strikte update()-Ability. Übergangslösung, bis
* ein echtes Rollen-/Freigabekonzept existiert.
* Weitere Leader einsetzen/entziehen: nur ein bestehender Leader bzw. der
* Ersteller/Super-Admin. Delegation ist damit selbsttragend jeder Leader
* kann neue Leader benennen (der Ersteller selbst kann nie entzogen werden,
* das erzwingt der Controller).
*/
public function updateViaPortal(User $user, Meetup $meetup): bool
public function manageLeaders(User $user, Meetup $meetup): bool
{
return $this->owns($user, $meetup) || $meetup->hasMember($user);
return $this->owns($user, $meetup) || $meetup->isLeader($user);
}
}