src/Security/LogVoter.php line 39

Open in your IDE?
  1. <?php
  2. //------------------------------------------------------------------------------
  3. // src/Security/LogVoter.php
  4. //------------------------------------------------------------------------------
  5. namespace App\Security;
  7. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  8. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  9. use Doctrine\Common\Collections\ArrayCollection;
  10. use Doctrine\Persistence\ManagerRegistry;
  12. use App\Entity\Access;
  13. use App\Entity\Config\Config;
  14. use App\Entity\Config\Module;
  15. use App\Entity\HR\AccessFunction;
  16. use App\Entity\Security\Acl;
  17. use App\Entity\Security\AclPermission;
  18. use App\Services\Config\ModuleTools;
  20. // use Icod\PlatformBundle\Entity\Log;
  22. class LogVoter extends Voter
  23. {
  24.     const LISTING "list_logs";
  25.     const LISTING_SOCIETY "list_logs_society";
  26.     const LISTING_ANY "list_logs_any";
  28.     const IS_GRANTED_CONSTANTS = array(
  29.         self::LISTING,
  30.         self::LISTING_SOCIETY,
  31.         self::LISTING_ANY,
  32.     );
  34.     //--------------------------------------------------------------------------------
  35.     // acl constants
  36.     const ACL_PERM_LISTING "log_list";
  37.     const ACL_PERM_LISTING_SOCIETY "log_list_society";
  39.     public function __construct(ManagerRegistry $doctrineModuleTools $moduleTools)
  40.     {
  41.         $this->em $doctrine->getManager();
  42.         $this->moduleTools $moduleTools;
  44.         $this->aclRepository $this->em->getRepository(Acl::class);
  45.         $this->aclPermissionRepository $this->em->getRepository(AclPermission::class);
  46.     }
  48.     // Plan.io Task #4453 [See AccessVoter for details]
  49.     public function supportsAttribute(string $attribute): bool
  50.     {
  51.         return in_array($attributeself::IS_GRANTED_CONSTANTStrue);
  52.     }
  54.     protected function supports(string $attribute$subject): bool
  55.     {
  56.         // if the attribute isn't one we support, return false
  57.         if (!in_array($attributeself::IS_GRANTED_CONSTANTS))
  58.         {
  59.             return false;
  60.         }
  62.         return true;
  63.     }
  65.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  66.     {
  67.         $user $token->getUser();
  69.         if (!$user instanceof Access)
  70.         {
  71.             // the user must be logged in; if not, deny access
  72.             return false;
  73.         }
  75.         // The user must have a function; if not deny access
  76.         $function $user->getFunction();
  77.         if ($function === null)        return false;
  79.         // Plan.io Task #3710 : Get current group
  80.         $currentGroup $user->getSocietyGroup();
  81.         if ($currentGroup === null)
  82.             return false;
  84.         // you know $subject is a Log object, thanks to supports
  85.         /** @var Log $log */
  86.         $log $subject;
  88.         switch ($attribute)
  89.         {
  90.             case self::LISTING:
  91.                 return $this->canList($user$function);
  92.             case self::LISTING_SOCIETY:
  93.                 return $this->canListSociety($user$function);
  94.             case self::LISTING_ANY:
  95.                 return $this->canListAny($user$function);
  96.         }
  98.         throw new \LogicException('This code should not be reached!');
  99.     }
  102.     // Check if one of the societies of the access
  103.     // belongs to the societies of the action's group
  104.     private function checkSociety(Log $logAccess $access)
  105.     {
  106.         // Get all the societies of the access
  107.         $accessSocieties $access->getSocieties();
  108.         if (count($accessSocieties) < 1)
  109.             return false;
  110.         // Get the corresponding groups
  111.         $accessGroups = new \Doctrine\Common\Collections\ArrayCollection();
  112.         foreach ($accessSocieties as $s)
  113.              if ($s->getGroup() !== null)
  114.                 if ($accessGroups->contains($s->getGroup()) == false)
  115.                     $accessGroups[] = $s->getGroup();
  117.         $logAccess $log->getAccess();
  119.         if ($logAccess !== null)
  120.         {
  121.             // Logs from PLATFORM
  123.             // Get the societies for the action's access
  124.             $logAccessSocieties $logAccess->getSocieties();
  125.             if (count($logAccessSocieties) < 1)
  126.                 return false;
  127.             // Get the corresponding groups
  128.             $logAccessGroups = new \Doctrine\Common\Collections\ArrayCollection();
  129.             foreach ($logAccessSocieties as $s)
  130.                  if ($s->getGroup() !== null)
  131.                     if ($logAccessGroups->contains($s->getGroup()) == false)
  132.                         $logAccessGroups[] = $s->getGroup();
  134.             foreach ($accessGroups as $as)
  135.             {
  136.                 foreach ($logAccessGroups as $ps)
  137.                 {
  138.                     if ($as->getId() == $ps->getId())
  139.                     {
  140.                         return true;
  141.                     }
  142.                 }
  143.             }
  144.             return false;
  145.         }
  146.         return false;
  147.     }
  149.     private function canList(Access $accessAccessFunction $function)
  150.     {
  151.         // Restrictions are also applied in the Controller
  152.         // But this helps speeding page loading if the access is not even allowed to load the page
  153.         // (ie. if it has no list privileges whatsoever)
  155.         // Get Acl_Permission
  156.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING);
  157.         if ($aclPerm === null)        return false;
  159.         // Get Acl
  160.         $acl $this->aclRepository->findOneBy(array(
  161.             'function'        =>    $function,
  162.             'permission'    =>    $aclPerm
  163.         ));
  164.         if ($acl === null)        return false;
  166.         // Since only one list type can exist for the Logs,
  167.         // we can return the result of the acl_permission
  168.         return $acl->getValue();
  169.     }
  171.     private function canListSociety(Access $accessAccessFunction $function)
  172.     {
  173.         // Get Acl_Permission
  174.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING_SOCIETY);
  175.         if ($aclPerm === null)        return false;
  177.         // Get Acl
  178.         $acl $this->aclRepository->findOneBy(array(
  179.             'function'        =>    $function,
  180.             'permission'    =>    $aclPerm
  181.         ));
  182.         if ($acl === null)        return false;
  184.         // Since only one acl type can exist
  185.         // we can return the result of the acl_permission
  186.         // Further filtering is done in the Controller
  187.         return $acl->getValue();
  188.     }
  190.     private function canListAny(Access $accessAccessFunction $function)
  191.     {
  192.         // Several Acl_Permission may exist
  193.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING);
  194.         $aclPermSociety $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING_SOCIETY);
  196.         // If all are null, exit
  197.         if ($aclPerm === null && $aclPermSociety === null)
  198.             return false;
  200.         // Get First one
  201.         if ($aclPerm !== null)
  202.         {
  203.             $acl $this->aclRepository->findOneBy(array(
  204.                 'function'        =>    $function,
  205.                 'permission'    =>    $aclPerm
  206.             ));
  207.             if ($acl !== null)
  208.             {
  209.                 if ($acl->getValue())
  210.                 {
  211.                     // A single positive answer is enough
  212.                     return true;
  213.                 }
  214.             }
  215.         }
  216.         // If we are here it means that nothing good has been found
  217.         // Load second permission
  218.         if ($aclPermSociety !== null)
  219.         {
  220.             $acl $this->aclRepository->findOneBy(array(
  221.                 'function'        =>    $function,
  222.                 'permission'    =>    $aclPermSociety
  223.             ));
  224.             if ($acl !== null)
  225.             {
  226.                 if ($acl->getValue())
  227.                 {
  228.                     // A single positive answer is enough
  229.                     return true;
  230.                 }
  231.             }
  232.         }
  234.         // If we are here, all hope is lost
  235.         return false;
  236.     }
  237. }