Update submodules: botserver, botui and project guidelines.

2026-04-05 09:12:32 -03:00 · 2026-04-05 09:12:32 -03:00 · fc95cba887
commit fc95cba887
parent 93dc55c47c
4 changed files with 610 additions and 1302 deletions
--- a/.opencode/plans/folders.md
+++ b/.opencode/plans/folders.md
@ -0,0 +1,429 @@
 # Folders.md: Sistema de Permissões de Pastas (Estilo Windows ACL)
 ## Visão Geral
 Implementar controle de acesso a pastas baseado em grupos RBAC, permitindo que `USE KB` inclua seletivamente pastas conforme os grupos do usuário.
 ## Arquitetura Atual
 ### Já Existe ✅
 | Componente | Arquivo | Estado |
 |------------|---------|--------|
 | `KbPermissions` | `core/kb/permissions.rs` | Completo - `AccessLevel::GroupBased`, `FolderPermission` |
 | `UserContext` | `core/kb/permissions.rs` | Tem `groups: Vec<String>` |
 | `build_qdrant_permission_filter()` | `core/kb/permissions.rs` | Gera filtros Qdrant por grupo |
 | `rbac_groups` | Schema core.rs | Tabela existe |
 | `rbac_user_groups` | Schema core.rs | Tabela existe (user → group) |
 | `file_shares` | migrations drive | Tem `shared_with_group` |
 ### Falta Integrar ❌
 | Componente | Descrição |
 |------------|-----------|
 | `folder_group_access` | Tabela para link pasta → grupo |
 | `UserContext.groups` | Popular grupos do BD na sessão |
 | `USE KB` permission check | Verificar grupos antes de adicionar |
 | UI Admin | Atribuir grupos a pastas |
 | `USE FOLDER` keyword | BASIC keyword para pastas |
 ---
 ## Estrutura de Permissões (Windows-style)
 ```
 Organização
 ├── Gestores (grupo RBAC)
 │   ├── Pasta: /relatorios/financeiros
 │   │   └── Permissão: Gestores (ler/escrever)
 │   ├── Pasta: /strategic
 │   │   └── Permissão: Gestores (ler)
 │   └── Pasta: /publico
 │       └── Permissão: Todos (ler)
 │
 ├── RH (grupo RBAC)
 │   ├── Pasta: /rh/documentos
 │   │   └── Permissão: RH (ler/escrever)
 │   └── Pasta: /relatorios/financeiros
 │       └── Permissão: RH (ler)
 │
 └── Todos (grupo implícito)
    ├── Pasta: /publico
    │   └── Permissão: Todos (ler)
    └── Pasta: /intranet
        └── Permissão: Autenticados (ler)
 ```
 ---
 ## Plano de Implementação
 ### Fase 1: Database (Migration)
 **Arquivo:** `botserver/migrations/6.2.0-02-folder-access/up.sql`
 ```sql
 -- Tabela principal: pasta ↔ grupo
 CREATE TABLE folder_group_access (
    id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
    folder_path TEXT NOT NULL,                    -- Ex: "work/bot1/pasta-protegida"
    group_id UUID NOT NULL REFERENCES rbac_groups(id) ON DELETE CASCADE,
    permission_level TEXT NOT NULL DEFAULT 'read',  -- read|write|admin
    created_by UUID REFERENCES users(id),
    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
    UNIQUE(folder_path, group_id)
 );
 -- Índice para busca rápida
 CREATE INDEX idx_folder_group_access_path ON folder_group_access(folder_path);
 CREATE INDEX idx_folder_group_access_group ON folder_group_access(group_id);
 -- Adicionar coluna de permissões em kb_collections
 ALTER TABLE kb_collections 
 ADD COLUMN IF NOT EXISTS access_level TEXT DEFAULT 'authenticated';
 COMMENT ON TABLE folder_group_access IS 'Windows-style ACL: pasta ↔ grupo RBAC';
 ```
 ---
 ### Fase 2: Schema Diesel
 **Arquivo:** `botserver/src/core/shared/schema/research.rs`
 ```rust
 diesel::table! {
    folder_group_access (id) {
        id -> Uuid,
        folder_path -> Text,
        group_id -> Uuid,
        permission_level -> Varchar,
        created_by -> Nullable<Uuid>,
        created_at -> Timestamptz,
    }
 }
 diesel::joinable!(folder_group_access -> rbac_groups (group_id));
 // Adicionar em kb_collections:
 access_level -> Varchar,  // all|authenticated|role_based|group_based
 ```
 ---
 ### Fase 3: Modelos Rust
 **Arquivo:** `botserver/src/core/kb/models.rs` (novo)
 ```rust
 #[derive(Debug, Clone, Queryable, Selectable)]
 #[diesel(table_name = folder_group_access)]
 pub struct FolderGroupAccess {
    pub id: Uuid,
    pub folder_path: String,
    pub group_id: Uuid,
    pub permission_level: String,
    pub created_by: Option<Uuid>,
    pub created_at: DateTime<Utc>,
 }
 #[derive(Debug, Clone, Insertable)]
 #[diesel(table_name = folder_group_access)]
 pub struct NewFolderGroupAccess {
    pub folder_path: String,
    pub group_id: Uuid,
    pub permission_level: String,
    pub created_by: Option<Uuid>,
 }
 ```
 ---
 ### Fase 4: Carregar Grupos do Usuário
 **Arquivo:** `botserver/src/core/shared/state.rs`
 Modificar `AppState` ou `UserContext` para popular grupos:
 ```rust
 // Nova função em core/kb/permissions.rs
 pub async fn load_user_groups(
    db_pool: &DbPool,
    user_id: Uuid,
 ) -> Result<Vec<String>, String> {
    use crate::core::shared::schema::core::rbac_groups::dsl::*;
    use crate::core::shared::schema::core::rbac_user_groups::dsl::*;
    let mut conn = db_pool.get().map_err(|e| e.to_string())?;
    let group_names: Vec<String> = rbac_user_groups
        .inner_join(rbac_groups)
        .filter(user_id.eq(user_id))
        .select(name)
        .load(&mut conn)
        .map_err(|e| e.to_string())?;
    Ok(group_names)
 }
 // Em UserContext, adicionar método:
 impl UserContext {
    pub async fn with_db_groups(mut self, db_pool: &DbPool) -> Result<Self, String> {
        let groups = load_user_groups(db_pool, self.user_id).await?;
        self.groups = groups;
        Ok(self)
    }
 }
 ```
 ---
 ### Fase 5: Modificar USE KB
 **Arquivo:** `botserver/src/basic/keywords/use_kb.rs`
 ```rust
 use crate::core::kb::permissions::{KbPermissionParser, FolderPermission, AccessLevel};
 fn add_kb_to_session(
    conn_pool: DbPool,
    session_id: Uuid,
    bot_id: Uuid,
    user_id: Uuid,  // Adicionar
    kb_name: &str,
 ) -> Result<(), String> {
    // ... código existente ...
    // NOVO: Verificar permissões de grupo
    let user_groups = load_user_groups(&conn_pool, user_id)?;
    let has_access = check_folder_group_access(
        &conn_pool,
        &kb_folder_path,
        &user_groups,
    )?;
    if !has_access {
        return Err(format!(
            "Acesso negado: KB '{}' requer grupo específico",
            kb_name
        ));
    }
    // ... resto do código ...
 }
 fn check_folder_group_access(
    conn_pool: &DbPool,
    folder_path: &str,
    user_groups: &[String],
 ) -> Result<bool, String> {
    // Buscar grupos associados à pasta
    // Se pasta é "pública" (sem grupos) → permitir
    // Se usuário está em algum grupo da pasta → permitir
    // Caso contrário → negar
 }
 ```
 ---
 ### Fase 6: Modificar THINK KB (Filtro Qdrant)
 **Arquivo:** `botserver/src/basic/keywords/think_kb.rs`
 ```rust
 use crate::core::kb::permissions::build_qdrant_permission_filter;
 async fn think_kb_search(
    // ... parâmetros ...
    user_id: Uuid,
 ) -> Result<Value, String> {
    // Carregar contexto do usuário com grupos
    let user_groups = load_user_groups(&db_pool, user_id).await?;
    let user_context = UserContext::authenticated(
        user_id,
        Some(email),
        org_id,
    ).with_groups(user_groups);
    // Filtrar resultados do Qdrant com base nos grupos
    let qdrant_filter = build_qdrant_permission_filter(&user_context);
    // Buscar no Qdrant com filtro
    // ...
 }
 ```
 ---
 ### Fase 7: Novo Keyword USE FOLDER
 **Arquivo:** `botserver/src/basic/keywords/use_folder.rs` (novo)
 ```rust
 // USE FOLDER "caminho/da/pasta" [READ|WRITE|ADMIN]
 engine.register_custom_syntax(
    ["USE", "FOLDER", "$expr$", "($expr$)", "($expr$)", "($expr$)"],
    true,
    move |context, inputs| {
        let folder_path = context.eval_expression_tree(&inputs[0])?.to_string();
        // Verificar acesso, adicionar à sessão
    },
 );
 ```
 ---
 ### Fase 8: API Endpoints
 **Arquivo:** `botserver/src/api/routes/rbac.rs`
 ```rust
 // GET /api/rbac/folders/{path}/groups
 // Lista grupos com acesso a uma pasta
 async fn get_folder_groups(
    Path(folder_path): Path<String>,
    State(state): State<ApiState>,
 ) -> Result<Json<Vec<GroupInfo>>, AppError> {
    // Query folder_group_access
 }
 // POST /api/rbac/folders/{path}/groups/{group_id}
 async fn add_folder_group(
    Path((folder_path, group_id)): Path<(String, Uuid)>,
    Json(payload): Json<FolderAccessPayload>,
 ) -> Result<Json<FolderGroupAccess>, AppError> {
    // INSERT folder_group_access
 }
 // DELETE /api/rbac/folders/{path}/groups/{group_id}
 async fn remove_folder_group(
    Path((folder_path, group_id)): Path<(String, Uuid)>,
 ) -> Result<StatusCode, AppError> {
    // DELETE folder_group_access
 }
 // GET /api/rbac/users/{user_id}/accessible-folders
 async fn get_user_accessible_folders(
    // Lista pastas que o usuário pode acessar
 )
 ```
 ---
 ### Fase 9: UI Admin
 **Arquivo:** `botui/ui/suite/admin/groups.html`
 Adicionar aba "Pastas" na visualização do grupo:
 ```html
 <!-- Tab de Pastas -->
 <div hx-get="/api/admin/groups/{group_id}/folders" 
     hx-target="#group-folders">
  <button class="tab-btn">Pastas</button>
 </div>
 <div id="group-folders" class="tab-content">
  <!-- Lista de pastas com acesso -->
  <!-- Botão: Adicionar pasta -->
 </div>
 ```
 **Arquivo:** `botui/ui/suite/drive/drive.html`
 Mostrar cadeado nas pastas protegidas:
 ```html
 <i class="fa-solid fa-lock" title="Acesso restrito a grupos"></i>
 ```
 ---
 ## Fluxo Completo
 ```
 1. Usuário executa: USE KB "relatorios-financeiros"
 2. Sistema carrega:
   - user_id da sessão
   - grupos do usuário (rbac_user_groups → rbac_groups)
   - grupos da pasta (folder_group_access)
 3. Verificação:
   - Se pasta não tem restrições (pública) → OK
   - Se usuário está em algum grupo da pasta → OK
   - Caso contrário → ERRO "Acesso negado"
 4. Se OK:
   - Adiciona KB em session_kb_associations
   - THINK KB agora busca no Qdrant com filtro de grupos
 5. THINK KB retorna:
   - Apenas documentos de pastas que o usuário tem acesso
 ```
 ---
 ## Testes
 ```rust
 #[test]
 fn test_group_access_allowed() {
    let groups = vec!["gestores".to_string()];
    let folder_path = "work/bot/financeiro";
    // Gestor tem acesso
    assert!(check_folder_group_access(folder_path, &groups).unwrap());
 }
 #[test]
 fn test_group_access_denied() {
    let groups = vec!["rh".to_string()];
    let folder_path = "work/bot/financeiro";
    // RH não tem acesso a financeiro
    assert!(!check_folder_group_access(folder_path, &groups).unwrap());
 }
 #[test]
 fn test_public_folder_access() {
    let groups = vec![];
    let folder_path = "work/bot/publico";
    // Pasta pública permite todos
    assert!(check_folder_group_access(folder_path, &groups).unwrap());
 }
 ```
 ---
 ## Prioridades de Implementação
 | # | Tarefa | Prioridade | Complexidade |
 |---|--------|------------|--------------|
 | 1 | Migration folder_group_access | Alta | Baixa |
 | 2 | Schema Diesel | Alta | Baixa |
 | 3 | load_user_groups() | Alta | Média |
 | 4 | check_folder_group_access() | Alta | Média |
 | 5 | Modificar USE KB | Alta | Média |
 | 6 | Modificar THINK KB (Qdrant filter) | Alta | Média |
 | 7 | API endpoints | Média | Média |
 | 8 | UI Admin | Média | Alta |
 | 9 | USE FOLDER keyword | Baixa | Média |
 ---
 ## Arquivos a Modificar
 | Arquivo | Ação |
 |---------|------|
 | `migrations/6.2.0-02-folder-access/up.sql` | Criar |
 | `migrations/6.2.0-02-folder-access/down.sql` | Criar |
 | `src/core/shared/schema/research.rs` | Modificar |
 | `src/core/kb/permissions.rs` | Modificar (load_user_groups) |
 | `src/core/kb/models.rs` | Criar |
 | `src/basic/keywords/use_kb.rs` | Modificar |
 | `src/basic/keywords/think_kb.rs` | Modificar |
 | `src/api/routes/rbac.rs` | Modificar |
 | `botui/ui/suite/admin/groups.html` | Modificar |
 | `botui/ui/suite/drive/drive.html` | Modificar |
--- a/AGENTS.md
+++ b/AGENTS.md
--- a/2
+++ b/2
@ -1 +1 @@
-Subproject commit 552f37a41c63cb5a86e147a5de3cc2555a521d3f
+Subproject commit 155d465b14de5d018c7c3eeaf47abe5b3b95fb0c
--- a/2
+++ b/2
@ -1 +1 @@
-Subproject commit 3919a857b2441c472dcdd1bd90b84734f6f10b02
+Subproject commit 45f56f0f6e4c54c168d73464736fb3fc80f79026
		`@ -1 +1 @@`
			`Subproject commit 552f37a41c63cb5a86e147a5de3cc2555a521d3f`				`Subproject commit 155d465b14de5d018c7c3eeaf47abe5b3b95fb0c`
		`@ -1 +1 @@`
			`Subproject commit 3919a857b2441c472dcdd1bd90b84734f6f10b02`				`Subproject commit 45f56f0f6e4c54c168d73464736fb3fc80f79026`