fix: AdminController roles hardened (owner+admin) + SettingsView visibility

- [Authorize(Roles = "owner,admin")] statt nur owner – admin darf jetzt ebenfalls User verwalten - CreateUser erlaubt nur Rollen admin|user|viewer; owner ist blockiert - UpdateUserRole erlaubt nur admin|user|viewer; owner kann weder gesetzt noch überschrieben werden; admin darf andere admins nicht ändern und sich nicht selbst herabstufen - SettingsView: canManageUsers = role owner || admin statt nur owner - UI-Dropdown zeigt nur admin|user|viewer (owner als Kommentar notiert)
2026-06-20 14:27:24 +02:00
parent e4091eee80
commit 1df663f57c
8 changed files with 640 additions and 18 deletions
@@ -362,6 +362,7 @@ onMounted(() => {
                    <option value="user">User</option>
                    <option value="admin">Admin</option>
                    <option value="viewer">Viewer</option>
+                    <!-- owner ist nicht über UI wählbar – bleibt Sonderrolle -->
                  </select>
                </div>
                <p v-if="createError" class="msg error">{{ createError }}</p>