[CLAUDE] PE-Workflow: UAT S22+1 — disable cả 3 button khi không quyền + BE guard

User UAT feedback: "Nếu đã không được quyền thao tác thì ko được quyền thao tác hết tất cả các hành động" — trước đây chỉ "Duyệt" disabled, "Trả lại" + "Từ chối" vẫn enabled (design intent S17 cũ). FE 2 app mirror (PeWorkflowPanel.tsx): - `isDisabled = blockedByV2Level` (drop `isForwardApprove &&` qualifier) - Tooltip update "mới thao tác được (Duyệt / Trả lại / Từ chối)" - Comment refresh ghi UAT S22+1 spec + cross-ref BE EnsureCanRejectV2Async BE defense-in-depth (PurchaseEvaluationWorkflowService.cs): - Helper mới `EnsureCanRejectV2Async` mirror FE actorInV2Level logic: Skip silent khi admin/V1/non-ChoDuyet/no actor/no pointer. Throw ForbiddenException khi V2 + ChoDuyet + actor != currentLevel.ApproverUserId. - Invoke ở top Reject branch (cover cả TuChoi + Trả lại sub-branches). - Chặn request forge: non-approver gọi PATCH /transitions direct sẽ 403. Test (test-before §7 — security guard critical algorithm): - ReturnMode tests existing 7/7 vẫn PASS (a2.Id = currentLevel approver, guard accept) - +1 NEW test `Reject_NonApprover_V2_Throws_ForbiddenException` — outsider Drafter role gọi Reject phiếu V2 → throw + Phase không mutate Verify: - dotnet test SolutionErp.slnx — 104/104 PASS (+1 guard regression) Δ: 103 → 104 - npm run build × 2 app — pass (482ms + 583ms) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-13 21:46:51 +07:00
parent a74e671431
commit 40f64c6b32
4 changed files with 96 additions and 10 deletions
--- a/fe-user/src/components/pe/PeWorkflowPanel.tsx
+++ b/fe-user/src/components/pe/PeWorkflowPanel.tsx
@ -51,7 +51,9 @@ export function PeWorkflowPanel({
    .filter((v, i, arr) => arr.findIndex(x => x.userId === v.userId) === i)

  // Mig 24 — V2 schema chỉ cho phép approver trong CurrentApproval.approvers
-  // duyệt cấp hiện tại. Admin bypass.
+  // thao tác cấp hiện tại. UAT S22+1: disable cả 3 button (Duyệt + Trả lại
+  // + Từ chối) khi actor không match. BE mirror EnsureCanRejectV2Async.
+  // Admin bypass.
  const v2Approvers = evaluation.currentApproval?.approvers ?? []
  const actorInV2Level = isAdmin
    || (currentUser?.id && v2Approvers.some(a => a.userId === currentUser.id))
@ -235,11 +237,12 @@ export function PeWorkflowPanel({
                && evaluation.phase !== PurchaseEvaluationPhase.TraLai
              const isCancel = p === PurchaseEvaluationPhase.TuChoi
              const isForwardApprove = !isSendBack && !isCancel
-              // Mig 24 — disable Duyệt forward nếu V2 pin + actor không trong cấp hiện tại
-              const isDisabled = isForwardApprove && blockedByV2Level
+              // Mig 24 + UAT S22+1 — disable cả 3 button khi actor không match
+              // currentLevel.ApproverUserId. "Không quyền = ko quyền mọi hành động."
+              const isDisabled = blockedByV2Level
              const label = isSendBack ? '← Trả lại' : isCancel ? '✗ Từ chối' : '✓ Duyệt'
              const title = isDisabled && evaluation.currentApproval
-                ? `Cấp ${evaluation.currentApproval.levelOrder} chỉ ${evaluation.currentApproval.approvers.map(a => a.fullName).join(' / ')} mới duyệt được.`
+                ? `Cấp ${evaluation.currentApproval.levelOrder} chỉ ${evaluation.currentApproval.approvers.map(a => a.fullName).join(' / ')} mới thao tác được (Duyệt / Trả lại / Từ chối).`
                : isForwardApprove
                  ? `Duyệt → ${PurchaseEvaluationPhaseLabel[p]}`
                  : undefined