Mini-projet Spring Boot – La Chocolaterie de Pâques – Version 3

Évolution du projet

Après une première version centrée sur la gestion métier de la chocolaterie et une deuxième étape orientée application web CRUD avec Spring Boot, Thymeleaf, JPA et PostgreSQL, une version 3 du projet est désormais envisagée.

Cette nouvelle étape a pour objectif d’ajouter une vraie dimension applicative, sécurisée et professionnelle au projet.

L’application devra donc évoluer pour intégrer :

• une authentification sécurisée
• une gestion des rôles
• un espace administrateur
• un espace client
• l’inscription des internautes
• la connexion des utilisateurs
• l’intégration d’une documentation d’API avec Swagger / OpenAPI
• une approche plus fonctionnelle du traitement métier, avec l’utilisation possible de Vavr et de Either pour limiter l’usage des exceptions classiques.

La charte graphique existante de la Chocolaterie de Pâques doit être conservée.
Les nouvelles pages doivent donc rester cohérentes avec le style CSS déjà fourni dans les templates.

---

1. Nouveau contexte

La Maison du Cacao Royal souhaite désormais ouvrir son application à 2 types d’utilisateurs :

1.1 L’administrateur du site

L’administrateur gère le contenu et le fonctionnement global de la boutique :

• gestion des catégories
• gestion des produits
• gestion des clients
• gestion des commandes
• gestion des lignes de commande
• consultation des comptes utilisateurs
• administration générale du site.

1.2 L’internaute client

Un internaute doit pouvoir :

• créer un compte
• se connecter
• consulter les produits
• consulter les catégories
• passer une commande
• consulter l’historique de ses commandes
• modifier certaines informations de son profil.

L’application ne doit donc plus être pensée uniquement comme un outil de gestion interne, mais comme une application web complète avec sécurité et profils utilisateurs.

---

2. Objectifs de la version 3

Cette nouvelle étape du projet doit permettre de mettre en pratique :

• Spring Security
• la gestion des utilisateurs et des rôles
• la sécurisation des routes web (Endpoints dans les contrôleurs)
• la sécurisation éventuelle des routes REST
• l’inscription et l’authentification d’un utilisateur (avec formulaire côté front)
• l’intégration de Swagger / OpenAPI (comme d’habitude)
• l’évolution du modèle métier
• l’introduction d’une logique plus fonctionnelle avec Vavr
• l’utilisation de Either à la place d’une partie des exceptions techniques ou métier.

---

3. Évolutions fonctionnelles attendues

3.1 Gestion des comptes utilisateurs

L’application doit intégrer une vraie gestion des utilisateurs.

Un utilisateur doit posséder au minimum :

• un identifiant
• un nom
• un prénom
• un email unique
• un mot de passe sécurisé (hash)
• un rôle.

Les rôles à prévoir au minimum :

• ROLE_ADMIN
• ROLE_CLIENT

3.2 Fonctionnalités côté administrateur

Un administrateur authentifié doit pouvoir accéder à une zone d’administration permettant :

• de gérer les catégories
• de gérer les produits
• de gérer les clients
• de consulter toutes les commandes
• de consulter le détail de toutes les commandes
• d’ajouter, modifier ou supprimer des lignes de commande si nécessaire
• de consulter les utilisateurs inscrits.

L’administrateur doit également pouvoir :

• se connecter via un formulaire sécurisé
• se déconnecter
• être redirigé vers un tableau de bord adapté.

3.3 Fonctionnalités côté client

Un internaute client doit pouvoir :

• s’inscrire via un formulaire
• se connecter
• consulter les produits disponibles
• consulter les catégories
• créer une commande
• ajouter des produits à sa commande
• consulter ses commandes passées
• consulter le détail de ses commandes
• modifier son profil si vous souhaitez aller plus loin.

Contraintes importantes :

• un client ne doit pas pouvoir accéder à l’administration
• il ne doit pas pouvoir consulter les commandes d’un autre client
• il ne doit pas pouvoir modifier les données d’un autre utilisateur
• il ne doit pas pouvoir supprimer des produits ou des catégories.

---

4. Sécurité attendue

4.1 Authentification

L’authentification doit être mise en place avec Spring Security. L’utilisateur doit pouvoir se connecter à l’aide de son email et de son mot de passe.

Le mot de passe doit être stocké de manière sécurisée, par exemple via un encodeur de mot de passe.

4.2 Autorisation

La sécurité doit s’appuyer sur les rôles.

Exemples de règles attendues :

• /admin/** : accessible uniquement à l’administrateur
• /client/** : accessible au client connecté
• /inscription, /connexion, page d’accueil, catalogue : accessibles publiquement (tout le monde)
• les pages de gestion des catégories, produits, clients et commandes globales : réservées à l’administrateur.

4.3 Gestion de session

L’application doit proposer :

• un formulaire de connexion
• une gestion de session utilisateur
• une déconnexion
• des redirections adaptées selon le rôle.

---

5. Nouvelles entités et adaptations du modèle

Le modèle existant doit évoluer.

5.1 Entités à conserver

Les entités métier existantes restent présentes :

• Categorie
• Produit
• Client
• Commande
• LigneCommande
• LigneCommandeId

5.2 Entités à ajouter

Vous devez ajouter au minimum :

• Utilisateur
• éventuellement Role

Deux approches sont possibles :

Approche simple

Un champ role dans Utilisateur.

Approche plus évolutive

Une entité Role liée à Utilisateur.

Pour ce mini-projet, les 2 approches sont acceptables, à condition que le modèle reste propre.

---

6. Lien entre client métier et utilisateur de sécurité

Vous devez réfléchir à l’articulation entre :

• l’entité métier Client
• l’entité de sécurité Utilisateur

Plusieurs choix sont possibles :

Option A – séparation stricte

• Client représente les données commerciales
• Utilisateur représente le compte de connexion
• les 2 sont liés entre eux.

Option B – fusion partielle

• Utilisateur contient directement les informations de type client.

Pour ce projet, il est recommandé de privilégier une structure claire et maintenable.

---

7. Architecture attendue

Le projet doit continuer à respecter une architecture en couches :

fr/chocolaterie/
├── controller/
├── entity/
├── repository/
├── service/
├── security/
├── dto/
├── mapper/
├── config/
└── exception/

Éléments supplémentaires attendus :

• security
• dto
• mapper
• config

---

8. Composants techniques attendus

8.1 Couche Entity

Elle doit contenir :

• les entités métier existantes
• les nouvelles entités liées à la sécurité.

8.2 Couche Repository

Elle doit contenir les repositories JPA nécessaires pour :

• les données métier
• les utilisateurs
• les rôles si vous les modélisez séparément.

8.3 Couche Service

Elle doit contenir :

• la logique métier existante
• la logique liée à l’inscription
• la logique liée à l’authentification si nécessaire
• la logique de sécurité applicative
• la logique de création et de consultation des commandes selon le rôle.

8.4 Couche Controller

Elle doit contenir :

• les contrôleurs web existants
• les nouveaux contrôleurs de connexion et d’inscription
• les contrôleurs de profil
• éventuellement des contrôleurs REST documentés par Swagger.

---

9. Gestion des vues Thymeleaf

Les templates fournis précédemment restent la base visuelle du projet.

Contraintes sur l’IHM :

• conserver les couleurs
• conserver la structure générale
• conserver le style global
• réutiliser les composants visuels déjà présents.

Pages à ajouter au minimum :

• page de connexion
• page d’inscription
• tableau de bord administrateur
• espace client
• page mes commandes
• page mon profil si vous l’ajoutez.

Le style CSS existant doit être réutilisé et prolongé, pas remplacé brutalement.

---

10. Swagger / OpenAPI

Une documentation interactive de l’API doit être intégrée.

Objectifs :

• visualiser les endpoints REST
• tester les routes facilement
• documenter les opérations disponibles
• distinguer les routes publiques et sécurisées si possible.

Exemples de routes qui peuvent être documentées :

• consultation des produits
• consultation des catégories
• gestion CRUD côté administration
• consultation des commandes
• création de lignes de commande
• endpoints d’authentification si vous exposez une version API.

---

11. Vavr et Either

Dans cette version 3, vous pouvez introduire Vavr pour rendre la logique métier plus expressive.

11.1 Pourquoi utiliser Vavr ?

L’objectif est d’éviter une prolifération d’exceptions pour des cas métier prévisibles.

Exemples de cas métier adaptés à Either :

• stock insuffisant
• produit introuvable
• client introuvable
• commande introuvable
• email déjà utilisé
• utilisateur non autorisé à accéder à une ressource.

11.2 Exemple d’idée

Plutôt que de lever systématiquement une exception, vous pouvez retourner un résultat du type :

• Either<String, Commande>
• Either<ErreurMetier, Produit>
• Either<ErreurMetier, Void>

Intérêt :

• modéliser explicitement les erreurs
• mieux séparer les cas métier normaux des vraies erreurs techniques
• clarifier le comportement des services.

---

12. Règles métier supplémentaires

En plus de la logique déjà attendue dans les versions précédentes, la version 3 doit intégrer les règles suivantes :

• Inscription :

• un email ne peut être utilisé qu’une seule fois (Unique)
• le mot de passe doit être saisi puis stocké de manière sécurisée

• le rôle attribué lors de l’inscription publique est ROLE_CLIENT.

• Connexion :

• seul un utilisateur existant peut se connecter
• un mot de passe invalide doit refuser la connexion

• un utilisateur authentifié doit être redirigé vers l’espace adapté à son rôle.

• Consultation des commandes :

• un administrateur peut consulter toutes les commandes

• un client ne peut consulter que ses propres commandes.

• Création de commande côté client :

• un client connecté peut créer une commande pour lui-même

• il ne doit pas pouvoir créer une commande au nom d’un autre client.

• Cohérence des stocks :

La logique de stock des versions précédentes reste applicable.

• décrément lors de l’ajout d’une ligne
• ajustement en cas de modification
• restauration en cas de suppression
• blocage si stock insuffisant.

---

13. Sécurité des routes web et REST

Vous devez proposer une configuration de sécurité cohérente.

Exemples de routes publiques :

• /
• /connexion
• /inscription
• /catalogue
• /produits
• /categories

Exemples de routes réservées aux clients connectés :

• /client/**
• /mes-commandes/**

Exemples de routes réservées à l’administrateur.trice :

• /admin/**
• /gestion/**

Pour les routes REST :

• certaines routes peuvent être publiques
• d’autres doivent être sécurisées selon le rôle.

---

14. Travail demandé

Partie 1 – Analyse

À partir du projet précédent :

1. identifier les points à faire évoluer dans le modèle
2. identifier les nouvelles entités nécessaires
3. proposer une stratégie de gestion des utilisateurs et des rôles
4. identifier les routes à sécuriser
5. identifier les traitements métier pouvant être modélisés avec Either.

Partie 2 – Modèle et persistance

1. créer les nouvelles entités
2. mettre à jour les repositories
3. adapter le script SQL PostgreSQL si nécessaire
4. prévoir les données initiales utiles à la sécurité :
   • au moins un administrateur
   • au moins un client.

Partie 3 – Sécurité

1. configurer Spring Security
2. créer le mécanisme de connexion
3. créer la page d’inscription
4. sécuriser les routes
5. gérer les rôles.

Partie 4 – Couche service

1. créer les services liés à l’authentification et à l’inscription
2. déplacer la logique métier sensible dans les services
3. utiliser Either sur certains cas métier prévisibles.

Partie 5 – Contrôleurs et vues

1. ajouter les contrôleurs nécessaires
2. connecter les nouvelles pages Thymeleaf
3. respecter la charte graphique existante
4. gérer les redirections après authentification.

Partie 6 – Documentation API

1. intégrer Swagger / OpenAPI
2. documenter les endpoints
3. vérifier l’accessibilité de la documentation.

---

15. Livrables attendus

Vous devez rendre :

• le projet Spring Boot version 3 complet
• le pom.xml mis à jour
• le fichier application.yml ou application.properties
• les entités
• les repositories
• les services
• les contrôleurs
• la configuration de sécurité
• les templates Thymeleaf ajoutés
• les scripts SQL adaptés
• la documentation Swagger fonctionnelle
• un export ZIP du projet (optionnel)

---

16. Critères

• la qualité de l’architecture globale
• la bonne mise en place de Spring Security
• la pertinence de la modélisation des rôles et utilisateurs
• la qualité de la gestion des accès
• la cohérence entre back-end et vues Thymeleaf
• la qualité de la logique métier
• l’usage pertinent de Vavr / Either
• la qualité de la documentation Swagger
• la cohérence visuelle avec le style de la chocolaterie
• la lisibilité et la maintenabilité du code.

---

17. Résultat attendu

À la fin de cette version 3, l’application doit permettre :

Côté administrateur

• de se connecter
• d’administrer le catalogue
• d’administrer les clients
• d’administrer les commandes
• d’accéder à l’API documentée.

Côté client

• de s’inscrire
• de se connecter
• de consulter les produits
• de passer commande
• de consulter ses propres commandes.

Côté technique

• de disposer d’une application sécurisée
• d’une API documentée
• d’une logique métier plus robuste
• d’une structure de projet professionnelle.

---

18. Conseil de méthodologie

Travaillez dans cet ordre :

1. modèle utilisateur / rôle
2. sécurité
3. inscription et connexion
4. protection des routes
5. adaptation de la logique métier
6. intégration Swagger
7. amélioration avec Vavr / Either.

N’essayez pas de tout faire d’un seul coup.

Commencez par tester :

• un administrateur qui se connecte
• un client qui s’inscrit
• une route sécurisée
• puis le reste…

Dans cette version 3, la chocolaterie passe du simple atelier de gestion à une vraie boutique en ligne.