[IMP]stock_ux:new user rights

[jcadhoc]

No description provided.

[roboadhoc]

[Copilot]

Pull request overview

Este PR agrega un nuevo grupo de seguridad "Usuario Básico de Inventario" (group_stock_user_basic) con el objetivo de proporcionar permisos similares a stock.group_stock_user pero sin permitir realizar ajustes de inventario directos sobre stock.quant.

Cambios clave:

• Nuevo grupo de seguridad con herencia de stock.group_stock_user
• Restricción de acceso a stock.quant mediante ir.rule y CSV
• Incremento de versión de 19.0.1.1.0 a 19.0.1.2.0

Reviewed changes

Copilot reviewed 3 out of 3 changed files in this pull request and generated 4 comments.

File	Description
stock_ux/security/stock_ux_security.xml	Agrega definición del grupo group_stock_user_basic y regla de acceso restrictiva para stock.quant
stock_ux/security/ir.model.access.csv	Agrega línea de control de acceso que deniega todos los permisos sobre stock.quant para el nuevo grupo
stock_ux/manifest.py	Incrementa versión del módulo de 1.1.0 a 1.2.0 (minor bump)

[Copilot]

La ir.rule tiene una contradicción lógica: establece perm_read="True" (permitir lectura) pero con un dominio [(0, '=', 1)] que filtra todos los registros (siempre falso).

Además, esta regla es redundante con el acceso definido en ir.model.access.csv línea 4, donde ya se deniegan todos los permisos (0,0,0,0).

Problema adicional: Como se explicó en el comentario del implied_ids, esta regla no funcionará como se espera porque el grupo hereda de stock.group_stock_user, que ya tiene acceso completo por ACL.

Recomendación:
Si se corrige la herencia del grupo, entonces:

• Eliminar esta ir.rule completamente (es redundante con el CSV)
• O bien, si se prefiere usar ir.rule, cambiar perm_read a False para mayor claridad, aunque el dominio [(0,'=',1)] ya niega el acceso de facto.

Suggested change

	<!-- Regla de registro para quitar acceso a ajustes de inventario -->
	<record id="stock_quant_rule_basic_user" model="ir.rule">
	<field name="name">Stock Quant: Usuario Básico de Inventario - Sin Acceso</field>
	<field name="model_id" ref="stock.model_stock_quant"/>
	<field name="groups" eval="[(4, ref('group_stock_user_basic'))]"/>
	<field name="domain_force">[(0, '=', 1)]</field>
	<field name="perm_read" eval="True"/>
	<field name="perm_write" eval="False"/>
	<field name="perm_create" eval="False"/>
	<field name="perm_unlink" eval="False"/>
	</record>

[Copilot]

Esta línea de acceso (todos los permisos en 0) es redundante con la ir.rule definida en stock_ux_security.xml líneas 29-38.

En Odoo, cuando se quiere denegar acceso completo a un modelo para un grupo específico, es suficiente con una de estas dos aproximaciones:

• Opción 1 (recomendada): Solo la línea CSV con todos los permisos en 0
• Opción 2: Solo una ir.rule con dominio que filtra todos los registros

Tener ambas es redundante y puede generar confusión en el mantenimiento.

Recomendación:
Mantener solo esta línea CSV (más simple y directa) y eliminar la ir.rule de las líneas 29-38 del archivo XML.

Suggested change

access_stock_quant_basic_user,Stock Quant - Usuario Básico,stock.model_stock_quant,stock_ux.group_stock_user_basic,0,0,0,0

[Copilot]

El código en stock_ux/models/stock_move_line.py líneas 85-91 realiza búsquedas en stock.quant dentro del método _check_quantity_available(), que es llamado por la constraint _check_manual_lines().

Si se asigna el grupo group_stock_user_basic a un usuario, y ese grupo efectivamente bloquea el acceso a stock.quant (después de corregir el problema de herencia), entonces cualquier operación que dispare la constraint fallará con un error de permisos de acceso cuando intente ejecutar self.env["stock.quant"].search(...).

Impacto operacional:
Los usuarios con este grupo no podrán:

• Editar cantidades en líneas de movimiento (campo quantity) cuando block_manual_lines esté activo
• Realizar operaciones de picking que validen disponibilidad de stock

Recomendaciones:

1. Revisar si este grupo debe tener acceso de solo lectura a stock.quant (en lugar de bloqueo total) para permitir estas validaciones
2. O bien, ajustar la lógica de la constraint para manejar la falta de permisos de forma elegante (ej. usando sudo() para la consulta de validación)
3. Documentar claramente en el comment del grupo qué limitaciones operacionales tendrán los usuarios

[Copilot]

El grupo hereda de stock.group_stock_user (mediante implied_ids), que ya otorga permisos completos sobre stock.quant a través de las ACLs del módulo base stock. Cuando un grupo hereda de otro, obtiene automáticamente todos sus permisos.

Luego se intenta restringir el acceso mediante una ir.rule, pero las reglas de registro (ir.rule) se evalúan DESPUÉS de las verificaciones de acceso base (ACL). Si el grupo padre ya tiene acceso completo por ACL, la regla restrictiva no lo bloqueará efectivamente.

Solución recomendada:
En lugar de heredar de stock.group_stock_user, el grupo debería:

1. Heredar de grupos más básicos (como base.group_user)
2. Replicar los accesos necesarios de stock.group_stock_user mediante ACLs propias
3. Excluir explícitamente el acceso a stock.quant

Alternativamente, eliminar el implied_ids y definir manualmente todos los permisos necesarios sin incluir stock.quant.

Suggested change

	<field name="implied_ids" eval="[(4, ref('stock.group_stock_user'))]"/>
	<field name="implied_ids" eval="[(4, ref('base.group_user'))]"/>