Membres & rôles
Quatre rôles, des permissions explicites et un flux d'invitation par email.
Les quatre rôles
Chaque membre d'une Organisation a un et un seul rôle. Les permissions sont cumulatives — un OWNER peut tout ce qu'un ADMIN peut faire, etc.
| Action | OWNER | ADMIN | MEMBER | VIEWER |
|---|---|---|---|---|
| Lire toutes les données | ✓ | ✓ | ✓ | ✓ |
| Créer / modifier Applications & Plans | ✓ | ✓ | — | — |
| Créer / modifier / suspendre tenants | ✓ | ✓ | ✓ | — |
| Tourner les clés API | ✓ | ✓ | — | — |
| Inviter / supprimer des membres | ✓ | ✓ | — | — |
| Changer les rôles | ✓ | — | — | — |
| Gérer plan SaaSes & facturation | ✓ | — | — | — |
| Supprimer l’Organisation | ✓ | — | — | — |
Flux d'invitation
Depuis /members, un OWNER ou ADMIN clique sur Invite member. Il fournit un email et un rôle. SaaSes :
- Crée un
OrganizationMemberavecstatus = INVITED. - Génère un token sécurisé (hashé en base) avec une expiration de 48 heures.
- Envoie un email à l'invité avec un lien
/accept-invite?token=.... - L'invité clique, choisit un mot de passe, et le compte passe en
ACTIVE.
Re-inviter
Si le token expire, vous pouvez régénérer un nouveau lien depuis le menu d'actions à côté du membre invité (Resend invite).
Changer un rôle
Seul un OWNER peut changer le rôle d'un autre membre. Vous ne pouvez pas changer votre propre rôle, ni rétrograder le dernier OWNER de l'Organisation — SaaSes refusera la mutation.
Sécurité
- Mots de passe stockés en bcrypt (cost 12).
- Politique : minimum 8 caractères, au moins une majuscule, au moins un chiffre.
- JWT d'accès court (15 min) + refresh token long (7 jours, sliding window).
- Refresh tokens stockés hashés et révocables.