[P2 Security] Laravel Authorization Policies für ProjectProposal, Vote, Election (vibe-kanban 85007440)

## Security Audit: Fehlende zentralisierte Autorisierung ### Problem Die Anwendung hat **keine Laravel Policy-Klassen**. Autorisierungslogik ist verstreut in: - **Blade Templates:** Inline `@if`-Checks gegen `config('einundzwanzig.config.current_board')` - **Livewire Trait:** `app/Livewire/Traits/WithNostrAuth.php` setzt `$isAllowed` und `$canEdit` Booleans - **Component-Mount-Methoden:** z.B. in `project-support/form/create.blade.php` (Zeile 41-47) Die Board-Member-Autorisierung funktioniert über einen Vergleich mit hartkodierten npubs in `config/einundzwanzig/config.php`: ```php 'current_board' => [ 'npub1pt0kw36...', 'npub1gvqkjc...', // etc. ] ``` **Probleme:** - Keine zentrale Stelle für Berechtigungsprüfungen - Autorisierung kann leicht vergessen werden wenn neue Endpoints hinzukommen - Board-Member-Check wird an vielen Stellen dupliziert - Livewire-Actions können ggf. direkt aufgerufen werden ohne UI-seitige Prüfung ### Lösung **1. Laravel Policies erstellen:** ```bash php artisan make:policy ProjectProposalPolicy --model=ProjectProposal --no-interaction php artisan make:policy VotePolicy --model=Vote --no-interaction php artisan make:policy ElectionPolicy --model=Election --no-interaction ``` **2. Policy-Methoden implementieren:** Für `ProjectProposalPolicy`: - `viewAny()` – Jeder darf die Liste sehen - `view()` – Jeder darf ein Proposal sehen - `create()` – Nur authentifizierte User mit `association_status > 1` und bezahlter Mitgliedschaft im aktuellen Jahr - `update()` – Nur der Ersteller ODER Board-Members - `delete()` – Nur Board-Members - `accept()` – Nur Board-Members (custom method für `accepted`-Flag) Für `VotePolicy`: - `create()` – Authentifizierte User, die noch nicht für dieses Proposal abgestimmt haben - `update()` / `delete()` – Nur der eigene Vote Für `ElectionPolicy`: - `viewAny()` / `view()` – Jeder - `create()` / `update()` / `delete()` – Nur Board-Members - `vote()` – Authentifizierte Mitglieder mit gültigem Status **3. Auth-Checks in der Nostr-Auth-Architektur:** Die App nutzt eine Custom NostrAuth (`app/Support/NostrAuth.php`, `app/Auth/NostrUser.php`). Die Policies müssen mit `NostrUser` funktionieren. Prüfe ob `NostrUser` das `Authenticatable` Interface korrekt implementiert, damit `$this->authorize()` und `Gate::allows()` in Livewire-Components funktionieren. **4. Policies in Livewire-Components nutzen:** Ersetze die inline-Checks in den Components durch Policy-Aufrufe: ```php // Vorher (verstreut in Blade/Component): if (in_array($this->currentPleb->npub, config('einundzwanzig.config.current_board'), true)) { ... } // Nachher (zentralisiert): $this->authorize('update', $projectProposal); ``` ### Betroffene Dateien - **Neue Dateien:** `app/Policies/ProjectProposalPolicy.php`, `app/Policies/VotePolicy.php`, `app/Policies/ElectionPolicy.php` - **Anpassen:** `app/Livewire/Traits/WithNostrAuth.php` – Board-Check in Policy auslagern - **Anpassen:** Livewire-Components in `app/Livewire/Association/ProjectSupport/` – `$this->authorize()` nutzen - **Anpassen:** Livewire-Components in `app/Livewire/Association/Election/` – `$this->authorize()` nutzen - **Prüfen:** `app/Auth/NostrUser.php` – Kompatibilität mit Policy-System - **Prüfen:** `config/einundzwanzig/config.php` – Board-Member-Liste wird weiterhin als Datenquelle genutzt ### Vorgehen 1. `search-docs` nutzen: `queries: ['policies', 'authorization', 'gates']` und `packages: ['laravel/framework']` 2. Prüfe wie `NostrUser` mit Laravel's Authorization-System zusammenspielt 3. Policies mit `php artisan make:policy` erstellen 4. Policy-Methoden implementieren (Board-Check-Logik zentralisieren) 5. Livewire-Components auf Policy-Aufrufe umstellen 6. Blade-Templates: `@can` / `@cannot` Directives nutzen statt inline `@if` 7. Pest Feature-Tests für jede Policy-Methode schreiben 8. `vendor/bin/pint --dirty` und `php artisan test --compact` ### Akzeptanzkriterien - 3 Policy-Klassen existieren und sind registriert - Board-Member-Check ist an EINER Stelle definiert (in Policy oder Helper) - Livewire-Components nutzen `$this->authorize()` statt inline-Checks - Blade-Templates nutzen `@can` / `@cannot` Directives - Pest-Tests decken alle Policy-Methoden ab (allow & deny) - Bestehende Funktionalität bleibt erhalten
2026-02-15 03:23:17 +00:00 · 2026-02-11 23:49:53 +01:00
parent 9b4930f419
commit d1b9dad35e
16 changed files with 705 additions and 67 deletions
--- a/resources/views/livewire/association/project-support/form/create.blade.php
+++ b/resources/views/livewire/association/project-support/form/create.blade.php
@@ -2,6 +2,7 @@

 use App\Models\ProjectProposal;
 use App\Support\NostrAuth;
+use Illuminate\Support\Facades\Gate;
 use Illuminate\Support\Facades\RateLimiter;
 use Livewire\Attributes\Layout;
 use Livewire\Attributes\Locked;
@@ -35,15 +36,15 @@ class extends Component

    public function mount(): void
    {
-        if (NostrAuth::check()) {
-            $currentPubkey = NostrAuth::pubkey();
-            $currentPleb = \App\Models\EinundzwanzigPleb::query()->where('pubkey', $currentPubkey)->first();
+        $nostrUser = NostrAuth::user();

-            if ($currentPleb && $currentPleb->association_status->value > 1 && $currentPleb->paymentEvents()->where('year', date('Y'))->where('paid', true)->exists()) {
-                $this->isAllowed = true;
-            }
+        if ($nostrUser && Gate::forUser($nostrUser)->allows('create', ProjectProposal::class)) {
+            $this->isAllowed = true;
+        }

-            if ($currentPleb && in_array($currentPleb->npub, config('einundzwanzig.config.current_board'), true)) {
+        if ($nostrUser) {
+            $pleb = $nostrUser->getPleb();
+            if ($pleb && in_array($pleb->npub, config('einundzwanzig.config.current_board'), true)) {
                $this->isAdmin = true;
            }
        }
@@ -59,6 +60,8 @@ class extends Component

    public function save(): void
    {
+        Gate::forUser(NostrAuth::user())->authorize('create', ProjectProposal::class);
+
        $executed = RateLimiter::attempt(
            'project-proposal-create:'.request()->ip(),
            5,
@@ -82,8 +85,8 @@ class extends Component
        $projectProposal->description = $this->form['description'];
        $projectProposal->support_in_sats = (int) $this->form['support_in_sats'];
        $projectProposal->website = $this->form['website'];
-        $projectProposal->accepted = $this->form['accepted'];
-        $projectProposal->sats_paid = $this->form['sats_paid'];
+        $projectProposal->accepted = $this->isAdmin ? $this->form['accepted'] : false;
+        $projectProposal->sats_paid = $this->isAdmin ? $this->form['sats_paid'] : 0;
        $projectProposal->einundzwanzig_pleb_id = \App\Models\EinundzwanzigPleb::query()->where('pubkey', NostrAuth::pubkey())->first()->id;
        $projectProposal->save();