src/Security/SocietyVoter.php line 21

Open in your IDE?
  1. <?php
  2. //------------------------------------------------------------------------------
  3. // src/Security/SocietyVoter.php
  4. //------------------------------------------------------------------------------
  5. namespace App\Security;
  7. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  8. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  9. use Doctrine\Common\Collections\ArrayCollection;
  10. use Doctrine\Persistence\ManagerRegistry;
  12. use App\Entity\Access;
  13. use App\Entity\Config\Config;
  14. use App\Entity\Config\Module;
  15. use App\Entity\HR\AccessFunction;
  16. use App\Entity\Platform\Society;
  17. use App\Entity\Security\Acl;
  18. use App\Entity\Security\AclPermission;
  19. use App\Services\Config\ModuleTools;
  21. class SocietyVoter extends Voter
  22. {
  23.     //--------------------------------------------------------------------------
  24.     // Plan.io Task #3634
  25.     const IS_ACTIVE "society_is_active";
  26.     const DISPLAY_SINGLE_SOCIETY "display_single_society";
  27.     const DISPLAY_MULTIPLE_SOCIETY "display_multiple_societies";
  28.     //--------------------------------------------------------------------------
  30.     const ADD "add_society";
  32.     const LISTING "list_societies";
  33.     const LISTING_SOCIETY "list_societies_society";
  34.     const LISTING_ANY "list_societies_any";
  36.     const VIEW "view_society";
  37.     const EDIT "edit_society";
  38.     const DELETE "delete_society";
  40.     const IS_GRANTED_CONSTANTS = array(
  41.         self::ADD,
  42.         self::LISTING,
  43.         self::LISTING_SOCIETY,
  44.         self::LISTING_ANY,
  45.         self::VIEW,
  46.         self::EDIT,
  47.         self::DELETE,
  48.         // Plan.io Task #3634
  49.         self::IS_ACTIVE,
  50.         self::DISPLAY_SINGLE_SOCIETY,
  51.         self::DISPLAY_MULTIPLE_SOCIETY,
  52.     );
  54.     //--------------------------------------------------------------------------------
  55.     // acl constants
  57.     const ACL_PERM_ADD "society_add";
  59.     const ACL_PERM_LISTING "society_list";
  60.     const ACL_PERM_LISTING_SOCIETY "society_list_society";
  62.     const ACL_PERM_VIEW "society_view";
  63.     const ACL_PERM_VIEW_SOCIETY "society_view_society";
  65.     const ACL_PERM_EDIT "society_edit";
  66.     const ACL_PERM_EDIT_SOCIETY "society_edit_society";
  68.     public function __construct(ManagerRegistry $doctrineModuleTools $moduleTools)
  69.     {
  70.         $this->em $doctrine->getManager();
  71.         $this->moduleTools $moduleTools;
  73.         $this->aclRepository $this->em->getRepository(Acl::class);
  74.         $this->aclPermissionRepository $this->em->getRepository(AclPermission::class);
  75.     }
  77.     // Plan.io Task #4453 [See AccessVoter for details]
  78.     public function supportsAttribute(string $attribute): bool
  79.     {
  80.         return in_array($attributeself::IS_GRANTED_CONSTANTStrue);
  81.     }
  82.     
  83.     protected function supports(string $attribute$subject): bool
  84.     {
  85.         // if the attribute isn't one we support, return false
  86.         if (!in_array($attributeself::IS_GRANTED_CONSTANTS))
  87.         {
  88.             return false;
  89.         }
  91.         // only vote on Society objects inside this voter
  92.         if ($subject !== null && !$subject instanceof Society)
  93.         {
  94.             return false;
  95.         }
  97.         return true;
  98.     }
  100.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  101.     {
  102.         $user $token->getUser();
  104.         if (!$user instanceof Access)
  105.         {
  106.             // the user must be logged in; if not, deny access
  107.             return false;
  108.         }
  110.         // The user must have a function; if not deny access
  111.         $function $user->getFunction();
  112.         if ($function === null)        return false;
  114.         // Plan.io Task #3710 : Get current group
  115.         $currentGroup $user->getSocietyGroup();
  116.         if ($currentGroup === null)
  117.             return false;
  119.         // you know $subject is a Society object, thanks to supports
  120.         /** @var Society $society */
  121.         $society $subject;
  123.         // Check current group affectation
  124.         if ($subject !== null)
  125.         {
  126.             $subjectGroup $subject->getGroup();
  127.             if ($subjectGroup === null)
  128.                 return false;
  129.             if (!$currentGroup->equals($subjectGroup))
  130.                 return false;
  131.         }
  133.         switch ($attribute)
  134.         {
  135.             //------------------------------------------------------------------
  136.             // Plan.io Task #3634
  137.             case self::IS_ACTIVE:
  138.             {
  139.                 return $this->moduleTools->isActiveMultipleSocieties($currentGroup);
  140.             }
  141.             case self::DISPLAY_SINGLE_SOCIETY:
  142.             {
  143.                 return $this->moduleTools->isActiveSingleSociety($currentGroup);
  144.             }
  145.             case self::DISPLAY_MULTIPLE_SOCIETY:
  146.             {
  147.                 return $this->moduleTools->isActiveMultipleSocieties($currentGroup);
  148.             }
  149.             //------------------------------------------------------------------
  151.             case self::ADD:
  152.                 return $this->canAdd($society$user$function);
  154.             case self::LISTING:
  155.                 return $this->canList($society$user$function);
  156.             case self::LISTING_SOCIETY:
  157.                 return $this->canListSociety($society$user$function);
  158.             case self::LISTING_ANY:
  159.                 return $this->canListAny($society$user$function);
  161.             case self::VIEW:
  162.                 return $this->canView($society$user$function);
  163.             case self::EDIT:
  164.                 return $this->canEdit($society$user$function);
  165.             case self::DELETE:
  166.                 return $this->canDelete($society$user$function);
  167.         }
  169.         throw new \LogicException('This code should not be reached!');
  170.     }
  172.     // The access has a list of societies
  173.     // Thus, the access has one or more society groups (ASGS)
  174.     // The given society has a group SG
  175.     // We need to knoe if the group SG is one of ASGS
  176.     private function checkSociety(Society $societyAccess $access)
  177.     {
  178.         // Get all the societies of the access
  179.         $accessSocieties $access->getSocieties();
  181.         // Get all the groups of the access
  182.         $accessGroups = new \Doctrine\Common\Collections\ArrayCollection();
  183.         foreach ($accessSocieties as $as)
  184.         {
  185.             if ($accessGroups->contains($as->getGroup()) == false)
  186.             {
  187.                 $accessGroups[] = $as->getGroup();
  188.             }
  189.         }
  191.         // Get the society group of the Society
  192.         $societyGroup $society->getGroup();
  193.         if ($societyGroup === null)
  194.             return false;
  196.         foreach ($accessGroups as $ag)
  197.         {
  198.             if ($ag->getId() == $societyGroup->getId())
  199.             {
  200.                 return true;
  201.             }
  202.         }
  203.         return false;
  204.     }
  206.     private function canAdd(Society $society nullAccess $accessAccessFunction $function)
  207.     {
  208.         // Get Acl_Permission
  209.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_ADD);
  210.         if ($aclPerm === null)        return false;
  212.         // Get Acl
  213.         $acl $this->aclRepository->findOneBy(array(
  214.             'function'        =>    $function,
  215.             'permission'    =>    $aclPerm
  216.         ));
  217.         if ($acl === null)        return false;
  219.         return $acl->getValue();
  220.     }
  222.     private function canList(Society $society nullAccess $accessAccessFunction $function)
  223.     {
  224.         // Restrictions are also applied in the Controller
  225.         // But this helps speeding page loading if the access is not even allowed to load the page
  226.         // (ie. if it has no list privileges whatsoever)
  228.         // Get Acl_Permission
  229.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING);
  230.         if ($aclPerm === null)        return false;
  232.         // Get Acl
  233.         $acl $this->aclRepository->findOneBy(array(
  234.             'function'        =>    $function,
  235.             'permission'    =>    $aclPerm
  236.         ));
  237.         if ($acl === null)        return false;
  239.         // Since only one list type can exist for the Societys,
  240.         // we can return the result of the acl_permission
  241.         return $acl->getValue();
  242.     }
  244.     private function canListSociety(Society $society nullAccess $accessAccessFunction $function)
  245.     {
  246.         // Get Acl_Permission
  247.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING_SOCIETY);
  248.         if ($aclPerm === null)        return false;
  250.         // Get Acl
  251.         $acl $this->aclRepository->findOneBy(array(
  252.             'function'        =>    $function,
  253.             'permission'    =>    $aclPerm
  254.         ));
  255.         if ($acl === null)        return false;
  257.         // Since only one acl type can exist
  258.         // we can return the result of the acl_permission
  259.         // Further filtering is done in the Controller
  260.         return $acl->getValue();
  261.     }
  263.     private function canListAny(Society $society nullAccess $accessAccessFunction $function)
  264.     {
  265.         // Several Acl_Permission may exist
  266.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING);
  267.         $aclPermSociety $this->aclPermissionRepository->findOneByName(self::ACL_PERM_LISTING_SOCIETY);
  269.         // If all are null, exit
  270.         if ($aclPerm === null && $aclPermSociety === null)
  271.             return false;
  273.         // Get First one
  274.         if ($aclPerm !== null)
  275.         {
  276.             $acl $this->aclRepository->findOneBy(array(
  277.                 'function'        =>    $function,
  278.                 'permission'    =>    $aclPerm
  279.             ));
  280.             if ($acl !== null)
  281.             {
  282.                 if ($acl->getValue())
  283.                 {
  284.                     // A single positive answer is enough
  285.                     return true;
  286.                 }
  287.             }
  288.         }
  289.         // If we are here it means that nothing good has been found
  290.         // Load second permission
  291.         if ($aclPermSociety !== null)
  292.         {
  293.             $acl $this->aclRepository->findOneBy(array(
  294.                 'function'        =>    $function,
  295.                 'permission'    =>    $aclPermSociety
  296.             ));
  297.             if ($acl !== null)
  298.             {
  299.                 if ($acl->getValue())
  300.                 {
  301.                     // A single positive answer is enough
  302.                     return true;
  303.                 }
  304.             }
  305.         }
  307.         // If we are here, all hope is lost
  308.         return false;
  309.     }
  311.     private function canView(Society $societyAccess $accessAccessFunction $function)
  312.     {
  313.         // Several Acl_Permission exist
  314.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_VIEW);
  315.         $aclPermSociety $this->aclPermissionRepository->findOneByName(self::ACL_PERM_VIEW_SOCIETY);
  317.         // If all are null, exit
  318.         if ($aclPerm === null || $aclPermSociety === null)
  319.             return false;
  321.         // Get First one (view all)
  322.         if ($aclPerm !== null)
  323.         {
  324.             $acl $this->aclRepository->findOneBy(array(
  325.                 'function'        =>    $function,
  326.                 'permission'    =>    $aclPerm
  327.             ));
  328.             if ($acl !== null)
  329.             {
  330.                 if ($acl->getValue())
  331.                 {
  332.                     // A single positive answer is enough
  333.                     return true;
  334.                 }
  335.             }
  336.         }
  338.         // If we are here it means that nothing good has been found
  339.         // Load second permission (restricred view)
  340.         if ($aclPermSociety !== null)
  341.         {
  342.             $acl $this->aclRepository->findOneBy(array(
  343.                 'function'        =>    $function,
  344.                 'permission'    =>    $aclPermSociety
  345.             ));
  346.             if ($acl !== null)
  347.             {
  348.                 if ($acl->getValue())
  349.                 {
  350.                     // A single positive answer is enough
  351.                     // In this case the good answer will be provided by the checkSociety
  352.                     return $this->checkSociety($society$access);
  353.                 }
  354.             }
  355.         }
  356.         // If we are here, all hope is lost
  357.         return false;
  358.     }
  360.     private function canEdit(Society $societyAccess $accessAccessFunction $function)
  361.     {
  362.         // Several Acl_Permission exist
  363.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_EDIT);
  364.         $aclPermSociety $this->aclPermissionRepository->findOneByName(self::ACL_PERM_EDIT_SOCIETY);
  366.         // If all are null, exit
  367.         if ($aclPerm === null || $aclPermSociety === null)
  368.             return false;
  370.         // Get First one (view all)
  371.         if ($aclPerm !== null)
  372.         {
  373.             $acl $this->aclRepository->findOneBy(array(
  374.                 'function'        =>    $function,
  375.                 'permission'    =>    $aclPerm
  376.             ));
  377.             if ($acl !== null)
  378.             {
  379.                 if ($acl->getValue())
  380.                 {
  381.                     // A single positive answer is enough
  382.                     return true;
  383.                 }
  384.             }
  385.         }
  387.         // If we are here it means that nothing good has been found
  388.         // Load second permission (restricred view)
  389.         if ($aclPermSociety !== null)
  390.         {
  391.             $acl $this->aclRepository->findOneBy(array(
  392.                 'function'        =>    $function,
  393.                 'permission'    =>    $aclPermSociety
  394.             ));
  395.             if ($acl !== null)
  396.             {
  397.                 if ($acl->getValue())
  398.                 {
  399.                     // A single positive answer is enough
  400.                     // In this case the good answer will be provided by the checkSociety
  401.                     return $this->checkSociety($society$access);
  402.                 }
  403.             }
  404.         }
  405.         // If we are here, all hope is lost
  406.         return false;
  407.     }
  409.     private function canDelete(Society $societyAccess $accessAccessFunction $function)
  410.     {
  411.         // Deny for all (admin is accepted in the calling function)
  412.         return false;
  413.     }
  414. }