# Commission Communication – Endpoints et restrictions

La **COMMISSION_COMMUNICATION** a accès à la liste des inscriptions **Sommet uniquement**, en **vue minimale** (email, pays, statut). Les endpoints complets (détail, stats, exports) sont bloqués.

---

## 1. Endpoints qui retournent du minimal (autorisés)

| Méthode | Endpoint | Comportement |
|--------|----------|--------------|
| GET | `/api/admin/registrations` | **Liste paginée minimale** : uniquement inscriptions des événements de type `summit` ; chaque item contient `id`, `email`, `country`, `status`. Filtres (event_id, status, q, dates) appliqués ; la query est restreinte aux événements Sommet. |

- **Policy** : `viewAnyAdmin` (registrations.read) → autorisé.
- **Ressource** : `AdminRegistrationMinimalResource`.

---

## 2. Endpoints bloqués (403) pour COMMISSION_COMMUNICATION

| Méthode | Endpoint | Raison |
|--------|----------|--------|
| GET | `/api/admin/registrations/{id}` | Détail complet d’une inscription. **Policy** : `viewAdmin` → `false` pour COMMISSION_COMMUNICATION. |
| GET | `/api/admin/registrations/stats` | Statistiques agrégées (total, par statut, par événement, etc.). **Policy** : `viewRegistrationStats` → `false` pour COMMISSION_COMMUNICATION. |
| GET | `/api/admin/exports/participants` | Export CSV participants. **Policy** : `export` (registrations.export ou exports.finance) → COMMISSION_COMMUNICATION n’a aucune de ces permissions. |
| GET | `/api/admin/exports/contributions` | Export CSV contributions. **Policy** : `export` → idem. |
| GET | `/api/admin/exports/batches` | Export CSV lots. **Policy** : `export` → idem. |
| PATCH | `/api/admin/registrations/{id}/status` | Changement de statut. **Policy** : `updateStatus` (registrations.update_status) → COMMISSION_COMMUNICATION n’a pas cette permission. |
| PUT | `/api/admin/registrations/{id}` | Mise à jour inscription. **Policy** : `updateAdmin` (registrations.update) → pas cette permission. |
| DELETE | `/api/admin/registrations/{id}` | Suppression. **Policy** : `deleteAdmin` (registrations.delete) → pas cette permission. |

---

## 3. Récapitulatif

- **Autorisé** : `GET /api/admin/registrations` → liste minimale Sommet uniquement.
- **Bloqué** : show (détail), stats, tous les exports, update status, update, delete.

Les autres routes admin (recommandations, treasury) suivent les permissions Spatie ; COMMISSION_COMMUNICATION a `registrations.read`, `recommendations.read`, `recommendations.send_email`, `messages.send` (pas de registrations.export, exports.finance, registrations.update_status, etc.).