src/Security/Voter/AclVoter.php line 16

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter;
  5. use App\AclPermission\AclPermissionManager;
  6. use App\AclPermission\AclPermissionProvider;
  7. use App\Entity\Hotel;
  8. use App\Entity\User;
  9. use Doctrine\Common\Util\ClassUtils;
  10. use Doctrine\ORM\EntityManagerInterface;
  11. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  12. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  13. use Symfony\Component\Security\Core\Security;
  14. use function Symfony\Component\String\u;
  16. class AclVoter extends Voter
  17. {
  18.     public const ANYONE_PERMISSION 'ACL_ANYONE';
  20.     private EntityManagerInterface $em;
  21.     private Security $security;
  22.     private AclPermissionProvider $aclPermissionProvider;
  23.     private AclPermissionManager $aclPermissionManager;
  25.     public function __construct(EntityManagerInterface $emSecurity $securityAclPermissionProvider $aclPermissionProviderAclPermissionManager $aclPermissionManager)
  26.     {
  27.         $this->em $em;
  28.         $this->security $security;
  29.         $this->aclPermissionProvider $aclPermissionProvider;
  30.         $this->aclPermissionManager $aclPermissionManager;
  31.     }
  33.     protected function supports(string $attribute$subject): bool
  34.     {
  35.         $subjectClassFcqn $this->getSubjectClassFcqn($subject);
  37.         if (!$subjectClassFcqn) {
  38.             return false;
  39.         }
  41.         $aclConfig $this->aclPermissionProvider->getConfigForDomainFcqn($subjectClassFcqn);
  43.         return !empty($aclConfig) && (in_array($attribute$aclConfig['permissions'], true) || $attribute === self::ANYONE_PERMISSION);
  44.     }
  46.     /**
  47.      * @param string $attribute
  48.      * @param $subject
  49.      * @param TokenInterface $token
  50.      * @return bool
  51.      */
  52.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  53.     {
  54.         /** @var User $user */
  55.         $user $token->getUser();
  56.         // if the user is anonymous, do not grant access
  57.         if (!$user instanceof User || !$user->isActive()) {
  58.             return false;
  59.         }
  61.         if ($this->security->isGranted('ROLE_SUPER_ADMIN')) {
  62.             return true;
  63.         }
  65.         // Assigned users can do anything to hotels
  66.         if ($subject instanceof Hotel && $user->getAssignedHotels()->contains($subject)) {
  67.             return true;
  68.         }
  70.         $subjectClassFcqn $this->getSubjectClassFcqn($subject);
  72.         if (!$subjectClassFcqn) {
  73.             return false;
  74.         }
  76.         $scope is_object($subject) ? 'object' 'class';
  77.         $domainId is_object($subject) ? $subject->getId() : 'class';
  79.         foreach ($user->getGroups() as $group) {
  80.             $permissions $this->aclPermissionManager->getStructuredIdentityAclPermissions($group);
  82.             if ($this->hasPermission($permissions$subjectClassFcqn$scope$domainId$attribute)) {
  83.                 return true;
  84.             }
  85.         }
  87.         $permissions $this->aclPermissionManager->getStructuredIdentityAclPermissions($user);
  89.         return $this->hasPermission($permissions$subjectClassFcqn$scope$domainId$attribute);
  90.     }
  92.     private function hasPermission(array $permissionsstring $subjectClassFcqnstring $scopestring $domainIdstring $attribute): bool
  93.     {
  94.         if ($attribute === self::ANYONE_PERMISSION) {
  95.             return array_key_exists($subjectClassFcqn$permissions) && !empty($permissions[$subjectClassFcqn]);
  96.         }
  98.         if ($scope !== 'class') {
  99.             $classScope 'class';
  100.             $classDomainId 'class';
  102.             if (array_key_exists($subjectClassFcqn$permissions) &&
  103.                 array_key_exists($classScope$permissions[$subjectClassFcqn]) &&
  104.                 array_key_exists($classDomainId$permissions[$subjectClassFcqn][$classScope]) &&
  105.                 in_array($attribute$permissions[$subjectClassFcqn][$classScope][$classDomainId]['permissions'], true)
  106.             ) {
  107.                 return true;
  108.             }
  109.         }
  111.         return array_key_exists($subjectClassFcqn$permissions) &&
  112.             array_key_exists($scope$permissions[$subjectClassFcqn]) &&
  113.             array_key_exists($domainId$permissions[$subjectClassFcqn][$scope]) &&
  114.             in_array($attribute$permissions[$subjectClassFcqn][$scope][$domainId]['permissions'], true);
  115.     }
  117.     private function getSubjectClassFcqn($subject): ?string
  118.     {
  119.         if (is_object($subject)) {
  120.             // Sometimes we have proxy classes, thus we need to guess real class name.
  121.             return ClassUtils::getClass($subject);
  122.         }
  124.         if (u($subject)->containsAny('\\')) {
  125.             return $subject;
  126.         }
  128.         if (u($subject)->endsWith('::class')) {
  129.             $subject u($subject)->before('::class');
  130.         }
  132.         $metadatas $this->em->getMetadataFactory()->getAllMetadata();
  134.         foreach ($metadatas as $metadata) {
  135.             if ($metadata->getReflectionClass()->getShortName() === $subject) {
  136.                 return $metadata->getName();
  137.             }
  138.         }
  140.         return null;
  141.     }
  142. }