Backend
Quién puede escribir qué. El rol viaja dentro del JWT (claim rol), leído de la tabla usuario al hacer login.
Lectura abierta a cualquier autenticado. Escritura: si el ViewSet no define roles_escritura, cualquiera autenticado puede escribir; si lo define, exige estar en esa lista o ser admin.
Igual que HasRole, pero la lectura no exige token — para que el catálogo y las fotos funcionen en la tienda pública sin login.
Ni la lectura es abierta. Solo admin o sistemas — usada exclusivamente por el registro de actividad.
| Recurso | Lectura | admin | abastecimiento | ventas | marketing | sistemas |
|---|---|---|---|---|---|---|
| categorías / productos / variantes | pública | ✓ | ✓ | — | — | — |
| fotos de producto | pública | ✓ | ✓ | — | ✓ | — |
| almacenes / movimientos | autenticado | ✓ | ✓ | — | — | — |
| proveedores / órdenes de compra / embarques / muestras | autenticado | ✓ | ✓ | — | — | — |
| clientes / pedidos / envíos | autenticado | ✓ | — | ✓ | — | — |
| comprobantes / pagos / notas de crédito | autenticado | ✓ | — | ✓ | — | — |
| equipo (usuario) | autenticado | ✓ | — | — | — | — |
| actividad | solo admin/sistemas | ✓ lee | — | — | — | ✓ lee |
| reportes | autenticado | ✓ | ✓ | ✓ | ✓ | ✓ |
El detalle de cada endpoint (métodos, filtros, acciones) está en La API del motor; qué significa cada rol en el día a día, en Introducción general.