src/EspaceDocBundle/Security/CategoryVoter.php line 24

Open in your IDE?
  1. <?php
  3. namespace App\EspaceDocBundle\Security;
  5. use App\Entity\Contacts;
  6. use App\Entity\User;
  7. use App\EspaceDocBundle\Entity\Acl;
  8. use App\EspaceDocBundle\Entity\Category;
  9. use App\EspaceDocBundle\Entity\Document;
  10. use App\EspaceDocBundle\Entity\UserGroup;
  11. use App\EspaceDocBundle\Repository\AclRepository;
  12. use App\EspaceDocBundle\Repository\DocumentRepository;
  13. use App\EspaceDocBundle\Repository\UserGroupRepository;
  14. use App\Repository\ContactsRepository;
  15. use Doctrine\ORM\EntityManager;
  16. use PhpParser\Comment\Doc;
  17. use Psr\Log\LoggerInterface;
  18. use Symfony\Component\DependencyInjection\ContainerAwareInterface;
  19. use Symfony\Component\DependencyInjection\ContainerInterface;
  20. use Symfony\Component\HttpFoundation\RequestStack;
  21. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  22. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  24. class CategoryVoter extends Voter implements ContainerAwareInterface
  25. {
  26.     const VIEW                          'view';
  27.     const EDIT                          'edit';
  28.     const DELETE                        'delete';
  29.     const EDIT_DOCUMENTS                'edit_documents';
  30.     const EDIT_DOCUMENTS_LIKE           'edit_documents_like';
  31.     const VIEW_DOCUMENTS_LIKE           'view_documents_like';
  32.     const BULK_DELETE_DOCUMENTS_POST    'bulk_delete_documents_post';
  34.     private $container;
  36.     /**
  37.      * @var RequestStack
  38.      */
  39.     private $requestStack;
  41.     /**
  42.      * @var EntityManager L'EM de l'ED
  43.      */
  44.     private $edEntityManager;
  46.     /**
  47.      * @var EntityManager L'EM du site
  48.      */
  49.     private $entityManager;
  51.     public function setContainer(ContainerInterface $container null)
  52.     {
  53.         $this->setContainer($container);
  54.     }
  56.     public function __construct(RequestStack $requestStackLoggerInterface $loggerContainerInterface $container)
  57.     {
  58.         $this->container $container;
  59.         $this->logger $logger;
  60.         $this->requestStack $requestStack;
  62.         $doctrine $this->container->get('doctrine');
  63.         $this->edEntityManager $doctrine->getManager('espacedoc');
  64.         $this->entityManager $doctrine->getManager();
  65.     }
  67.     protected function supports($attribute$subject)
  68.     {
  69.         // Voter seulement sur ce qui me concerne
  70.         if(!in_array($attribute, [
  71.             self::VIEW,
  72.             self::EDIT,
  73.             self::DELETE,
  74.             self::EDIT_DOCUMENTS,
  75.             self::EDIT_DOCUMENTS_LIKE,
  76.             self::VIEW_DOCUMENTS_LIKE,
  77.             self::BULK_DELETE_DOCUMENTS_POST,
  78.         ])) {
  79.             return false;
  80.         }
  81.         if(
  82.             !$subject instanceof Category &&                    // Si on ne me donne pas une catégorie
  83.             !($subject instanceof Document && (                 // Ni un document
  84.                 $attribute === self::EDIT_DOCUMENTS_LIKE ||
  85.                 $attribute === self::VIEW_DOCUMENTS_LIKE ||
  86.                 $attribute === self::VIEW
  87.             )) && (
  88.                 $attribute !== self::BULK_DELETE_DOCUMENTS_POST // S'il ne s'agit pas d'un bulk delete (dans ce cas, le subjectest dans $_POST
  89.             )
  90.         ) {
  91.             return false;
  92.         }
  94.         return true;
  95.     }
  97.     /**
  98.      * @param string $attribute
  99.      * @param mixed $subject
  100.      * @param TokenInterface $token
  101.      * @return bool
  102.      * @throws \Doctrine\ORM\NonUniqueResultException
  103.      */
  104.     protected function voteOnAttribute($attribute$subjectTokenInterface $token)
  105.     {
  106.         $user $token->getUser();
  108.         if($attribute !== self::EDIT_DOCUMENTS_LIKE) {
  109.             /** @var Category $category */
  110.             $category $subject;
  111.         } else {
  112.             /** @var Document $document */
  113.             $document $subject;
  114.         }
  116.         // Si utilisateur pas connecté, dehors
  117.         if (!$user instanceof User) {
  118.             return false;
  119.         }
  121.         // Superadmin peut tout faire
  122.         if($user->getIsSuper()) {
  123.             return true;
  124.         }
  126.         switch ($attribute) {
  127.             case self::VIEW:
  128.                 return $this->canView($category$user);
  129.             case self::EDIT:
  130.                 return $this->canEdit($category$user);
  131.             case self::EDIT_DOCUMENTS:
  132.                 return $this->canEditDocuments($category$user);
  133.             case self::EDIT_DOCUMENTS_LIKE:
  134.                 return $this->canEditDocuments($document->getCategory(), $user);
  135.             case self::VIEW_DOCUMENTS_LIKE:
  136.                 return $this->canViewDocuments($document->getCategory(), $user);
  137.             case self::DELETE:
  138.                 return $this->canDelete($category$user);
  139.             case self::BULK_DELETE_DOCUMENTS_POST:
  140.                 return $this->canBulkDeleteFromRequest($user);
  141.         }
  143.         throw new \LogicException('Unhandled attribute. Please check supports() method.');
  144.     }
  146.     private function canView($objectUser $user)
  147.     {
  148.         if($object instanceof Document) {
  149.             $category $object->getCategory();
  150.         } else {
  151.             $category $object;
  152.         }
  154.         // Est-ce que j'ai l'ACL 'éditer les documents' ?
  155.         // Récupération de l'ID du groupe ED
  156.         /** @var ContactsRepository $contactsRepository */
  157.         $contactsRepository $this->entityManager->getRepository(Contacts::class);
  158.         $contact $contactsRepository->findOneBy(['xutilisateur' => $user->getId()]);
  159.         if(!$contact) {
  160.             return false;
  161.         }
  162.         $groupId $contact->getGroup();
  164.         // Si je suis dans un groupe ED
  165.         if($groupId) {
  166.             // Récupération du groupe ED
  167.             /** @var UserGroupRepository $userGroupsRepository */
  168.             $userGroupsRepository $this->edEntityManager->getRepository(UserGroup::class);
  169.             $userGroup $userGroupsRepository->find($groupId);
  171.             // Si je suis dans le groupe 'admin', dans tous les cas, j'ai le droit d'éditer
  172.             if('admins' === $userGroup->getSlug()) {
  173.                 return true;
  174.             }
  176.             /** @var AclRepository $aclsRepository */
  177.             $aclsRepository $this->edEntityManager->getRepository(Acl::class);
  178.             return (
  179.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::EDIT_CATEGORY) || // Si j'ai le droit d'éditer la catégorie, j'ai aussi le droit d'éditer les documents
  180.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::EDIT_DOCUMENTS) ||
  181.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::VIEW)
  182.             );
  183.         }
  185.         return false;
  186.     }
  188.     /**
  189.      * @param Category $category
  190.      * @param User $user
  191.      * @return bool
  192.      * @throws \Doctrine\ORM\NonUniqueResultException
  193.      */
  194.     private function canEdit(Category $categoryUser $user)
  195.     {
  196.         // Est-ce que j'ai l'ACL 'éditer' ?
  197.         // Récupération de l'ID du groupe ED
  198.         /** @var ContactsRepository $contactsRepository */
  199.         $contactsRepository $this->entityManager->getRepository(Contacts::class);
  200.         $contact $contactsRepository->findOneBy(['xutilisateur' => $user->getId()]);
  201.         $groupId $contact->getGroup();
  203.         // Si je suis dans un groupe ED
  204.         if($groupId) {
  205.             // Récupération du groupe ED
  206.             /** @var UserGroupRepository $userGroupsRepository */
  207.             $userGroupsRepository $this->edEntityManager->getRepository(UserGroup::class);
  208.             $userGroup $userGroupsRepository->find($groupId);
  210.             // Si je suis dans le groupe 'admin', dans tous les cas, j'ai le droit d'éditer
  211.             if('admins' === $userGroup->getSlug()) {
  212.                 return true;
  213.             }
  215.             /** @var AclRepository $aclsRepository */
  216.             $aclsRepository $this->edEntityManager->getRepository(Acl::class);
  217.             return $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::EDIT_CATEGORY);
  218.         }
  220.         return false;
  221.     }
  224.     /**
  225.      * @param Category $category
  226.      * @param User $user
  227.      * @return bool
  228.      * @throws \Doctrine\ORM\NonUniqueResultException
  229.      */
  230.     private function canEditDocuments(Category $categoryUser $user)
  231.     {
  232.         // Est-ce que j'ai l'ACL 'éditer les documents' ?
  233.         // Récupération de l'ID du groupe ED
  234.         /** @var ContactsRepository $contactsRepository */
  235.         $contactsRepository $this->entityManager->getRepository(Contacts::class);
  236.         $contact $contactsRepository->findOneBy(['xutilisateur' => $user->getId()]);
  237.         if(!$contact) {
  238.             return false;
  239.         }
  240.         $groupId $contact->getGroup();
  242.         // Si je suis dans un groupe ED
  243.         if($groupId) {
  244.             // Récupération du groupe ED
  245.             /** @var UserGroupRepository $userGroupsRepository */
  246.             $userGroupsRepository $this->edEntityManager->getRepository(UserGroup::class);
  247.             $userGroup $userGroupsRepository->find($groupId);
  249.             // Si je suis dans le groupe 'admin', dans tous les cas, j'ai le droit d'éditer
  250.             if('admins' === $userGroup->getSlug()) {
  251.                 return true;
  252.             }
  254.             /** @var AclRepository $aclsRepository */
  255.             $aclsRepository $this->edEntityManager->getRepository(Acl::class);
  256.             return (
  257.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::EDIT_CATEGORY) || // Si j'ai le droit d'éditer la catégorie, j'ai aussi le droit d'éditer les documents
  258.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::EDIT_DOCUMENTS)
  259.             );
  260.         }
  262.         return false;
  263.     }
  266.     /**
  267.      * @param Category $category
  268.      * @param User $user
  269.      * @return bool
  270.      * @throws \Doctrine\ORM\NonUniqueResultException
  271.      */
  272.     private function canViewDocuments(Category $categoryUser $user)
  273.     {
  274.         // Est-ce que j'ai l'ACL 'Voir les documents' ?
  275.         // Récupération de l'ID du groupe ED
  276.         /** @var ContactsRepository $contactsRepository */
  277.         $contactsRepository $this->entityManager->getRepository(Contacts::class);
  278.         $contact $contactsRepository->findOneBy(['xutilisateur' => $user->getId()]);
  279.         $groupId $contact->getGroup();
  281.         // Si je suis dans un groupe ED
  282.         if($groupId) {
  283.             // Récupération du groupe ED
  284.             /** @var UserGroupRepository $userGroupsRepository */
  285.             $userGroupsRepository $this->edEntityManager->getRepository(UserGroup::class);
  286.             $userGroup $userGroupsRepository->find($groupId);
  288.             // Si je suis dans le groupe 'admin', dans tous les cas, j'ai le droit d'éditer
  289.             if('admins' === $userGroup->getSlug()) {
  290.                 return true;
  291.             }
  293.             /** @var AclRepository $aclsRepository */
  294.             $aclsRepository $this->edEntityManager->getRepository(Acl::class);
  295.             return (
  296.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::EDIT_CATEGORY) || // Si j'ai le droit d'éditer la catégorie, j'ai aussi le droit d'éditer les documents
  297.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::EDIT_DOCUMENTS) ||
  298.                 $aclsRepository->groupHasAclForCategory($userGroup$categoryAcl::VIEW)
  299.             );
  300.         }
  302.         return false;
  303.     }
  305.     /**
  306.      * @param Category $category
  307.      * @param User $user
  308.      * @return bool
  309.      * @throws \Doctrine\ORM\NonUniqueResultException
  310.      */
  311.     private function canDelete(Category $categoryUser $user)
  312.     {
  313.         return $this->canEdit($category$user);
  314.     }
  316.     /**
  317.      * Vérifier si j'ai le droit de supprimer les documents dont les ID sont passés en POST, dans `delete_documents`
  318.      *
  319.      * @param $user
  320.      * @return bool
  321.      */
  322.     private function canBulkDeleteFromRequest($user)
  323.     {
  324.         try {
  326.         /** @var DocumentRepository $documentRepository */
  327.         $documentRepository $this->entityManager->getRepository(Document::class);
  328.         $documentsToDelete $this->requestStack->getMasterRequest()->get('delete_documents');
  329.         foreach ($documentsToDelete as $key => $documentId) {
  330.             $document $documentRepository->find($documentId);
  331.             if(!$this->canEditDocuments($document->getCategory(), $user)) {
  332.                 return false;
  333.             }
  334.         }
  335.         return true;
  337.         } catch (\Exception $exception) {
  338.             return false;
  339.         }
  340.     }
  342. }