56f0ce2f27
Add new permission routes and integrate permission checks across various existing routes to ensure proper access control. Update the UserClub model to include role and permissions fields, allowing for more granular user access management. Enhance the frontend by introducing a user dropdown menu for managing permissions and displaying relevant options based on user roles. Improve the overall user experience by implementing permission-based visibility for navigation links and actions throughout the application.
5.6 KiB
Berechtigungssystem - Migrations-Anleitung
Übersicht
Diese Anleitung hilft Ihnen, das neue Berechtigungssystem für bestehende Clubs einzurichten.
Schritt 1: Datenbank-Schema erweitern
Führen Sie zuerst die SQL-Migration aus, um die neuen Spalten hinzuzufügen:
mysql -u username -p database_name < backend/migrations/add_permissions_to_user_club.sql
Dies fügt folgende Spalten zur user_club Tabelle hinzu:
role(VARCHAR) - Benutzerrolle (admin, trainer, team_manager, member)permissions(JSON) - Custom Permissionsis_owner(BOOLEAN) - Markiert den Club-Ersteller
Schritt 2: Bestehende Daten migrieren
Sie haben zwei Optionen:
Option A: Node.js Script (Empfohlen)
Das Script identifiziert automatisch den ersten Benutzer jedes Clubs (nach createdAt) und setzt ihn als Owner.
cd /home/torsten/Programs/trainingstagebuch/backend
node scripts/migratePermissions.js
Ausgabe:
Starting permissions migration...
Found 3 club(s)
--- Club: TTC Beispiel (ID: 1) ---
Members found: 5
First member (will be owner): admin@example.com
✓ Updated admin@example.com: role=admin, isOwner=true
✓ Updated user1@example.com: role=member, isOwner=false
✓ Updated user2@example.com: role=member, isOwner=false
...
✅ Migration completed successfully!
Summary:
Club Owners (3):
- TTC Beispiel: admin@example.com
- SV Teststadt: owner@test.de
- TSC Demo: demo@example.com
Role Distribution:
- Admins: 3
- Members: 12
Option B: SQL Script
Wenn Sie lieber SQL verwenden möchten:
mysql -u username -p database_name < backend/migrations/update_existing_user_club_permissions.sql
Dieses Script:
- Setzt
role = 'member'für alle genehmigten Benutzer ohne Rolle - Markiert den Benutzer mit der niedrigsten
user_idpro Club als Owner
Schritt 3: Manuelle Anpassungen (Optional)
Falscher Owner?
Falls das Script den falschen Benutzer als Owner markiert hat, können Sie dies manuell korrigieren:
-- Alten Owner zurücksetzen
UPDATE user_club
SET is_owner = 0, role = 'member'
WHERE club_id = 1 AND user_id = 123;
-- Neuen Owner setzen
UPDATE user_club
SET is_owner = 1, role = 'admin'
WHERE club_id = 1 AND user_id = 456;
Weitere Admins ernennen
UPDATE user_club
SET role = 'admin'
WHERE club_id = 1 AND user_id = 789;
Trainer ernennen
UPDATE user_club
SET role = 'trainer'
WHERE club_id = 1 AND user_id = 101;
Schritt 4: Verifizierung
Backend neu starten
# Server neu starten (wenn er läuft)
sudo systemctl restart tt-tagebuch
Im Browser testen
- Loggen Sie sich ein
- Wählen Sie einen Club aus
- Navigieren Sie zu "Berechtigungen" (nur für Admins sichtbar)
- Überprüfen Sie, dass alle Mitglieder korrekt angezeigt werden
SQL Verifizierung
-- Alle Club-Mitglieder mit ihren Berechtigungen anzeigen
SELECT
c.name as club_name,
u.email as user_email,
uc.role,
uc.is_owner,
uc.approved
FROM user_club uc
JOIN club c ON c.id = uc.club_id
JOIN user u ON u.id = uc.user_id
WHERE uc.approved = 1
ORDER BY c.name, uc.is_owner DESC, uc.role, u.email;
Troubleshooting
Problem: "Keine Berechtigung" trotz Owner-Status
Lösung: Überprüfen Sie in der Datenbank:
SELECT role, is_owner, approved
FROM user_club
WHERE user_id = YOUR_USER_ID AND club_id = YOUR_CLUB_ID;
Sollte sein: role='admin', is_owner=1, approved=1
Problem: Owner kann nicht geändert werden
Das ist korrekt! Der Owner (Club-Ersteller) kann seine eigenen Rechte nicht verlieren. Dies ist eine Sicherheitsmaßnahme.
Problem: Berechtigungen werden nicht geladen
Lösung:
- Browser-Cache leeren
- LocalStorage leeren:
localStorage.clear()in der Browser-Console - Neu einloggen
Problem: "Lade Mitglieder..." bleibt hängen
Mögliche Ursachen:
- Migration noch nicht ausgeführt
- Backend nicht neu gestartet
- Frontend nicht neu gebaut
Lösung:
# Backend
cd /home/torsten/Programs/trainingstagebuch/backend
node scripts/migratePermissions.js
# Frontend
cd /home/torsten/Programs/trainingstagebuch/frontend
npm run build
# Server neu starten
sudo systemctl restart tt-tagebuch
Nach der Migration
Neue Clubs
Bei neuen Clubs wird der Ersteller automatisch als Owner mit Admin-Rechten eingerichtet. Keine manuelle Aktion erforderlich.
Neue Mitglieder
Neue Mitglieder erhalten automatisch die Rolle "member" (Lesezugriff). Admins können die Rolle später ändern.
Berechtigungen verwalten
Admins können über die Web-UI unter /permissions Berechtigungen verwalten:
- Rollen zuweisen (Admin, Trainer, Mannschaftsführer, Mitglied)
- Custom Permissions definieren (für spezielle Anwendungsfälle)
Wichtige Hinweise
⚠️ Sicherung erstellen:
mysqldump -u username -p database_name > backup_before_permissions_$(date +%Y%m%d).sql
⚠️ Owner-Rechte:
- Der Owner (is_owner=1) kann nicht degradiert oder gelöscht werden
- Jeder Club hat genau einen Owner
- Owner-Rechte können nicht übertragen werden (nur durch direkte DB-Änderung)
⚠️ MyTischtennis:
- MyTischtennis-Funktionen sind für ALLE Mitglieder zugänglich
- Keine Berechtigungsprüfung für MyTischtennis-Endpunkte
Rollback (falls nötig)
Falls Sie das Berechtigungssystem zurücknehmen müssen:
-- Spalten entfernen (Achtung: Datenverlust!)
ALTER TABLE user_club
DROP COLUMN role,
DROP COLUMN permissions,
DROP COLUMN is_owner;
-- Indizes entfernen
DROP INDEX idx_user_club_role ON user_club;
DROP INDEX idx_user_club_owner ON user_club;
Dann Backend-Code auf vorherige Version zurücksetzen.