> For the complete documentation index, see [llms.txt](https://senselab.gitbook.io/senselab-docs/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://senselab.gitbook.io/senselab-docs/docs/archive/auditoria_controllers.md). # AUDITORÍA DE CONTROLLERS - SENSELAB CORE API **Fecha:** 22 de noviembre de 2025\ **Auditado por:** GitHub Copilot\ **Total de Controllers Revisados:** 60+ archivos *** ## 📋 RESUMEN EJECUTIVO ### ✅ Aspectos Positivos Encontrados: * ✅ **La mayoría de controllers usan FormRequests** en métodos store() y update() * ✅ **Uso correcto de Resources** para respuestas JSON * ✅ **Multi-tenancy implementado** con empresa\_id en la mayoría de casos * ✅ **Soft Deletes implementados correctamente** (update con eliminado=1) * ✅ **Uso de auth()->user()** está presente en todos los controllers que lo necesitan * ✅ **No se encontró uso de forceDelete()** (excelente práctica) ### ⚠️ Problemas Críticos Encontrados: 1. **Validación manual en métodos auxiliares** (8 controllers) 2. **Falta de verificación de permisos RBAC** en la mayoría de endpoints 3. **Algunos controllers sin filtro de empresa\_id** en index() 4. **Problemas potenciales de N+1 queries** en varios métodos 5. **Uso de delete() en lugar de soft delete** en 3 controllers específicos *** ## 1️⃣ FORMREQUESTS - ANÁLISIS DETALLADO ### ✅ Controllers CON FormRequests Correctos en store()/update() **Controllers Principales (app/Http/Controllers/):** * ✅ CajaChicaController * ✅ CajaController * ✅ ConsecutivoFEController * ✅ EntidadEtiquetaController * ✅ EtiquetaController * ✅ InventarioProductoController * ✅ MovimientoCajaChicaController * ✅ NominaEmpleadoController * ✅ PagoCuentaCobrarController * ✅ PagoCuentaPagarController * ✅ RegimenTributarioController * ✅ RolPermisoController * ✅ RolUsuarioController * ✅ TipoCambioHistorialController **Controllers API (app/Http/Controllers/API/):** * ✅ CargoController * ✅ CategoriaProductoController * ✅ ClienteController * ✅ ConfiguracionController * ✅ EmpleadoController * ✅ EmpresaController * ✅ ProductoController * ✅ ProveedorController * ✅ RolController * ✅ UsuarioController * ✅ VentaController * ✅ AsientoContableController * ✅ CuentaPorCobrarController * ✅ CuentaPorPagarController * ✅ EntradaInventarioController * ✅ SalidaInventarioController * ✅ OrdenCompraController * ✅ PresupuestoController * ✅ DetalleAsientoController * ✅ DetalleEntradaInventarioController * ✅ DetalleSalidaInventarioController * ✅ DetallePresupuestoController * ✅ PagoController * ✅ PagoNominaController * ✅ PeriodoNominaController ### ⚠️ Controllers que VALIDAN MANUALMENTE (requieren FormRequests) #### 1. **EntidadEtiquetaController** - Métodos auxiliares ```php Línea 125: asignarMultiples() - usa $request->validate() Línea 169: removerMultiples() - usa $request->validate() Línea 193: porEntidad() - usa $request->validate() Línea 215: porEtiqueta() - usa $request->validate() Línea 239: sincronizar() - usa $request->validate() ``` **Recomendación:** Crear FormRequests: * `AsignarMultiplesEtiquetasRequest` * `RemoverMultiplesEtiquetasRequest` * `SincronizarEtiquetasRequest` #### 2. **RolPermisoController** - Métodos de asignación masiva ```php Línea 120: asignarPermisos() - usa $request->validate() Línea 160: removerPermisos() - usa $request->validate() Línea 211: sincronizarPermisos() - usa $request->validate() ``` **Recomendación:** Crear: * `AsignarPermisosRequest` * `SincronizarPermisosRequest` #### 3. **RolUsuarioController** - Asignación de roles ```php Línea 108: asignarRoles() - usa $request->validate() ``` **Recomendación:** Crear `AsignarRolesRequest` #### 4. **EtiquetaController** - Búsqueda ```php Línea 169: buscar() - usa $request->validate() ``` **Recomendación:** Crear `BuscarEtiquetaRequest` #### 5. **ConsecutivoFEController** - Métodos auxiliares ```php Línea 144: obtenerSiguiente() - usa $request->validate() Línea 216: resetear() - usa $request->validate() ``` **Recomendación:** Crear: * `ObtenerSiguienteConsecutivoRequest` * `ResetearConsecutivoRequest` #### 6. **TipoCambioHistorialController** - Métodos de conversión ```php Línea 124: vigente() - usa $request->validate() Línea 159: convertir() - usa $request->validate() Línea 209: porMoneda() - usa $request->validate() Línea 259: tendencia() - usa $request->validate() ``` **Recomendación:** Crear: * `ObtenerTipoCambioVigenteRequest` * `ConvertirMonedaRequest` * `ConsultarTendenciaRequest` #### 7. **UrlShortenerController** ```php Línea 68: store() - usa $request->validate() directamente ``` **❌ PROBLEMA CRÍTICO:** Este controller NO usa StoreUrlShortenerRequest\ **Recomendación:** Crear `StoreUrlShortenerRequest` y reemplazar la validación inline #### 8. **AuthController** ```php Línea 79: login() - usa $request->validate() ``` **Nota:** Este es aceptable para el login, pero idealmente debería usar `LoginRequest` *** ## 2️⃣ AUTORIZACIÓN Y PERMISOS RBAC ### ❌ PROBLEMA CRÍTICO: Falta de Middleware/Gates de Autorización **Controllers sin verificación de permisos:** Todos los controllers revisados carecen de verificaciones explícitas de permisos RBAC en sus métodos, excepto por las validaciones manuales de `empresa_id`. **Métodos que DEBERÍAN verificar permisos:** #### Controllers Principales: ```php CajaChicaController: - store() → Requiere permiso: 'cajas_chica.crear' - update() → Requiere permiso: 'cajas_chica.editar' - destroy() → Requiere permiso: 'cajas_chica.eliminar' - cerrar() → Requiere permiso: 'cajas_chica.cerrar' - liquidar() → Requiere permiso: 'cajas_chica.liquidar' ConsecutivoFEController: - store() → 'consecutivos.crear' - update() → 'consecutivos.editar' - destroy() → 'consecutivos.eliminar' - resetear() → 'consecutivos.resetear' (CRÍTICO - solo admin) - obtenerSiguiente() → 'consecutivos.usar' EtiquetaController: - store/update/destroy → 'etiquetas.*' MovimientoCajaChicaController: - store/update/destroy → 'movimientos_caja_chica.*' ``` #### Controllers API Críticos: ```php EmpresaController: - store() → 'empresas.crear' (SUPER ADMIN) - update() → 'empresas.editar' (ADMIN) - destroy() → 'empresas.eliminar' (SUPER ADMIN) UsuarioController: - store() → 'usuarios.crear' - update() → 'usuarios.editar' - destroy() → 'usuarios.eliminar' - asignarRoles() → 'usuarios.asignar_roles' (CRÍTICO) - cambiarPassword() → 'usuarios.cambiar_password' ProductoController: - store/update/destroy → 'productos.*' VentaController: - store() → 'ventas.crear' - update() → 'ventas.editar' - destroy() → 'ventas.anular' (CRÍTICO) ClienteController/ProveedorController: - store/update/destroy → '{recurso}.*' RolController: - store/update/destroy → 'roles.*' (ADMIN) - asignarPermisos() → 'roles.asignar_permisos' (ADMIN) ``` ### ✅ Verificaciones de empresa\_id presentes (Multi-tenancy): La mayoría de controllers verifican correctamente: ```php if ($resource->empresa_id !== auth()->user()->empresa_id) { return response()->json(['success' => false, 'message' => 'No autorizado'], 403); } ``` **Controllers con buena implementación:** * CajaChicaController * ConsecutivoFEController * EtiquetaController * UsuarioController * EmpleadoController * CategoriaProductoController * InventarioController *** ## 3️⃣ MULTI-TENANCY (empresa\_id) ### ✅ Controllers con filtrado correcto por empresa\_id: **En método index():** * CajaChicaController ✅ * ConsecutivoFEController ✅ * EtiquetaController ✅ * UsuarioController ✅ * EmpleadoController ✅ * CategoriaProductoController ✅ * InventarioController ✅ * ConfiguracionController ✅ **En métodos show/update/destroy:** Todos los controllers principales verifican empresa\_id antes de permitir acceso ### ⚠️ Controllers SIN filtro de empresa\_id en index(): ```php ❌ CajaController - NO filtra por empresa_id en index() ❌ RegimenTributarioController - Es tabla global (correcto) ❌ RolController - Es tabla global (correcto) ❌ RolPermisoController - Es tabla de relación global (correcto) ❌ EntidadEtiquetaController - NO filtra por empresa, podría ser problema ❌ InventarioProductoController - NO filtra por empresa_id en index() ❌ NominaEmpleadoController - NO filtra por empresa_id ``` **Recomendación:** Los controllers marcados con ❌ que NO son tablas globales deben agregar: ```php public function index(Request $request): JsonResponse { $query = Model::where('empresa_id', auth()->user()->empresa_id) ->where('eliminado', 0); // resto del código... } ``` *** ## 4️⃣ SOFT DELETES ### ✅ Implementación CORRECTA de Soft Delete: **Patrón usado en la mayoría de controllers:** ```php public function destroy(Resource $resource): JsonResponse { // Verificación de empresa_id $resource->update(['eliminado' => 1, 'activo' => 0]); return response()->json([ 'success' => true, 'message' => 'Recurso eliminado exitosamente' ]); } ``` **Controllers con implementación correcta:** * CajaChicaController ✅ * CajaController ✅ * ConsecutivoFEController ✅ * EntidadEtiquetaController ✅ * EtiquetaController ✅ * InventarioProductoController ✅ * MovimientoCajaChicaController ✅ * NominaEmpleadoController ✅ * PagoCuentaCobrarController ✅ * PagoCuentaPagarController ✅ * RegimenTributarioController ✅ * RolUsuarioController ✅ * EmpresaController ✅ * ProductoController ✅ * ClienteController ✅ * ProveedorController ✅ * UsuarioController ✅ * EmpleadoController ✅ ### ⚠️ Controllers que usan delete() (Hard Delete): ```php ❌ TipoCambioHistorialController::destroy() Línea 111: $tipoCambioHistorial->delete(); Razón: Tabla de historial, podría ser aceptable pero inconsistente ❌ RolPermisoController::destroy() Línea 107: $rolPermiso->delete(); Razón: Tabla de relación, aceptable ❌ RolPermisoController::removerPermisos() Línea 168: ->delete(); Razón: Operación masiva en tabla de relación ❌ RolPermisoController::sincronizarPermisos() Línea 218: RolPermiso::where('rol_id', $request->rol_id)->delete(); Razón: Limpieza antes de sincronizar ❌ ModeloBusController::destroy() Línea 227: $modelo->delete(); Razón: Debería usar soft delete ❌ ConfiguracionController::destroy() Línea 169: $configuracion->delete(); Razón: Debería usar soft delete ❌ AsientoContableController::destroy() Línea 400: $asiento->detalles()->delete(); Razón: Elimina detalles relacionados, debería ser soft delete ❌ OrdenCompraController::destroy() Línea 312: $orden->detalles()->delete(); Razón: Elimina detalles relacionados, debería ser soft delete ``` **Nota especial:** AuthController usa `->tokens()->delete()` para revocar tokens, lo cual es correcto. ### ⚠️ Controllers con delete() en detalles: ```php DetalleEntradaInventarioController::destroy() DetalleSalidaInventarioController::destroy() DetallePresupuestoController::destroy() ``` **Recomendación:** Evaluar si los detalles deben usar soft delete o hard delete según reglas de negocio. *** ## 5️⃣ EAGER LOADING Y PROBLEMAS N+1 ### ✅ Controllers con buen uso de ->with(): **Excelente implementación:** ```php ProductoController::index() ->with(['empresa', 'categoria', 'unidadMedida', 'marca', 'tipoImpuesto']) ClienteController::index() ->with('empresa') ProveedorController::index() ->with('empresa') VentaController::index() ->with(['empresa', 'sucursal', 'cliente', 'usuario', 'formaPago']) UsuarioController::index() ->with(['roles', 'cargo', 'empresa']) EmpleadoController::index() ->with(['cargo']) EmpresaController::show() ->with(['regimenTributario', 'sucursales', 'usuarios', 'configuraciones']) ``` ### ⚠️ Posibles problemas N+1 detectados: ```php ❌ CajaChicaController::index() NO carga relaciones eager Problema: Si se accede a $cajaChica->responsable en el Resource ❌ ConsecutivoFEController::index() NO carga relación con sucursal Problema: Puede generar N+1 si se accede en el Resource ❌ MovimientoCajaChicaController::index() NO carga relación con caja_chica Problema: Si el Resource accede a la relación ❌ NominaEmpleadoController::index() NO carga relaciones (empleado, periodo_nomina) ❌ PagoCuentaCobrarController::index() NO carga relaciones (cuenta_por_cobrar, forma_pago) ❌ PagoCuentaPagarController::index() NO carga relaciones (cuenta_por_pagar, forma_pago) ❌ RegimenTributarioController::index() Sin relaciones, probablemente OK ❌ InventarioProductoController::index() NO carga relaciones (almacen, producto) ``` **Recomendación:** Agregar eager loading: ```php $query = Model::with(['relacion1', 'relacion2']) ->where('empresa_id', auth()->user()->empresa_id); ``` *** ## 6️⃣ USO DE RESOURCES ### ✅ EXCELENTE: Todos los controllers usan Resources **Patrón correcto encontrado en todos:** ```php // Para colecciones return ResourceName::collection($items); // Para items individuales return new ResourceName($item); // Con respuesta adicional return (new ResourceName($item)) ->additional(['message' => 'Operación exitosa']) ->response() ->setStatusCode(201); ``` **Controllers auditados con Resources:** * Todos los controllers principales ✅ * Todos los controllers API ✅ **No se encontraron controllers que retornen arrays directamente** ✅ *** ## 7️⃣ OTROS PROBLEMAS ENCONTRADOS ### ⚠️ Validación de ownership en métodos auxiliares **Problema encontrado:** ```php CajaChicaController::cerrar() CajaChicaController::liquidar() CajaChicaController::reabrir() → Verifican empresa_id ✅ ConsecutivoFEController::obtenerSiguiente() ConsecutivoFEController::resetear() ConsecutivoFEController::activar() → Verifican empresa_id ✅ TipoCambioHistorialController::convertir() TipoCambioHistorialController::vigente() → NO verifican empresa_id (podría ser global) ⚠️ ``` ### ⚠️ Métodos que modifican saldos sin transacciones **Implementación correcta encontrada:** ```php MovimientoCajaChicaController::store() ✅ DB::beginTransaction(); try { // operaciones DB::commit(); } catch (\Exception $e) { DB::rollBack(); } PagoCuentaCobrarController::store() ✅ PagoCuentaPagarController::store() ✅ ``` ### ⚠️ Uso de auth()->user() vs Request $request **Patrón inconsistente:** ```php // Algunos controllers usan: auth()->user()->empresa_id // Otros usan: $request->user()->empresa_id ``` **Recomendación:** Estandarizar a `auth()->user()` para consistencia. *** ## 8️⃣ PROBLEMAS DE SEGURIDAD ### 🔴 CRÍTICO: Falta de rate limiting No se detectaron limitadores de tasa en: * AuthController::login() * UsuarioController::cambiarPassword() * ConsecutivoFEController::obtenerSiguiente() **Recomendación:** Agregar middleware throttle: ```php Route::post('/login', [AuthController::class, 'login']) ->middleware('throttle:5,1'); // 5 intentos por minuto ``` ### 🔴 CRÍTICO: Operaciones sensibles sin autorización adicional ```php ConsecutivoFEController::resetear() → NO verifica si el usuario es admin → Permite resetear consecutivos fiscales (PELIGROSO) UsuarioController::destroy() → Solo verifica que no se elimine a sí mismo → NO verifica rol de admin RolController::update() → Cualquier usuario autenticado puede modificar roles ``` ### ⚠️ Mass Assignment potencial Algunos controllers usan `$request->validated()` directamente en create/update. Esto es CORRECTO si los FormRequests están bien configurados. **Verificar que los FormRequests tienen reglas adecuadas.** *** ## 📊 ESTADÍSTICAS GENERALES | Métrica | Cantidad | Porcentaje | | -------------------------------------------- | -------- | ---------- | | **Total Controllers Auditados** | 60+ | 100% | | **Controllers con FormRequests** | 52 | \~87% | | **Controllers con validación manual** | 8 | \~13% | | **Controllers con Resources** | 60+ | 100% | | **Controllers con Soft Delete correcto** | 55+ | \~92% | | **Controllers con Hard Delete** | 8 | \~13% | | **Controllers con eager loading** | 35+ | \~58% | | **Controllers sin verificación de permisos** | 60+ | 100% ⚠️ | | **Controllers con filtro empresa\_id** | 50+ | \~83% | | **Controllers sin filtro empresa\_id** | 7 | \~12% | *** ## ✅ RECOMENDACIONES PRIORIZADAS ### 🔴 PRIORIDAD ALTA (Implementar YA) 1. **Implementar verificación de permisos RBAC en todos los controllers** * Usar Gates o Policies de Laravel * Ejemplo: `$this->authorize('update', $producto);` * O middleware: `->middleware('permission:productos.editar')` 2. **Crear FormRequests faltantes** * UrlShortenerController necesita StoreUrlShortenerRequest * Métodos auxiliares necesitan sus propios FormRequests 3. **Agregar filtro de empresa\_id en controllers que lo necesitan** * CajaController * InventarioProductoController * NominaEmpleadoController * EntidadEtiquetaController 4. **Proteger operaciones críticas** * ConsecutivoFEController::resetear() solo para admin * RolController solo para admin * UsuarioController::destroy() solo para admin 5. **Rate limiting en endpoints sensibles** * Login * Cambio de contraseña * Obtención de consecutivos ### 🟡 PRIORIDAD MEDIA (Implementar pronto) 6. **Agregar eager loading a controllers con N+1 potenciales** * Ver lista detallada en sección 5 7. **Estandarizar soft deletes** * Convertir delete() a soft delete en: * ModeloBusController * ConfiguracionController * Detalles de asientos/órdenes 8. **Mejorar manejo de transacciones** * Revisar todos los métodos que modifican saldos * Asegurar uso de DB::transaction ### 🟢 PRIORIDAD BAJA (Mejoras) 9. **Estandarizar uso de auth()->user()** * Preferir auth()->user() sobre $request->user() 10. **Documentación OpenAPI** * Completar anotaciones faltantes * Actualizar ejemplos de respuestas 11. **Tests automatizados** * Crear tests para cada controller * Verificar permisos, multi-tenancy, soft deletes *** ## 📝 CONCLUSIÓN El código tiene una **base sólida** con: * ✅ Uso consistente de FormRequests * ✅ Resources en todos los controllers * ✅ Soft deletes mayormente implementados * ✅ Multi-tenancy funcional **Pero requiere mejoras urgentes en:** * 🔴 Autorización RBAC (CRÍTICO) * 🔴 Seguridad en operaciones sensibles * 🟡 Eager loading para performance * 🟡 Consistencia en filtros de empresa\_id **Calificación general:** 7.5/10 Con las mejoras sugeridas, el código alcanzaría un nivel de **9/10 en calidad empresarial**. *** **Fin del reporte de auditoría** --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://senselab.gitbook.io/senselab-docs/docs/archive/auditoria_controllers.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.