vendor/datenwerk/ginger-bundle/Security/TagVoter.php line 12

Open in your IDE?
  1. <?php
  3. namespace DW\GingerBundle\Security;
  5. use DW\GingerBundle\Entity\GroupInterface;
  6. use DW\GingerBundle\Entity\TagInterface;
  7. use DW\GingerBundle\Entity\User;
  8. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  9. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  10. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  12. class TagVoter extends Voter
  13. {
  15.     const VIEW 'view';
  16.     const EDIT 'edit';
  17.     const CREATE 'create';
  18.     const DELETE 'delete';
  19.     const USE = 'use';
  21.     private AccessDecisionManagerInterface $decisionManager;
  23.     public function __construct(AccessDecisionManagerInterface $decisionManager)
  24.     {
  25.         $this->decisionManager $decisionManager;
  26.     }
  28.     protected function supports($attribute$subject): bool
  29.     {
  30.         // if the attribute isn't one we support, return false
  31.         if (!in_array($attribute, array(self::VIEWself::EDITself::CREATEself::DELETEself::USE))) {
  32.             return false;
  33.         }
  34.         // only vote on tag objects inside this voter
  35.         if (!$subject instanceof TagInterface) {
  36.             return false;
  37.         }
  39.         return true;
  40.     }
  42.     protected function voteOnAttribute($attribute$subjectTokenInterface $token): bool
  43.     {
  44.         $user $token->getUser();
  45.         if (!$user instanceof User) {
  46.             // the user must be logged in; if not, deny access
  47.             return false;
  48.         }
  50.         /** @var Tag $tag */
  51.         $tag $subject;
  52.         switch ($attribute) {
  53.             case self::VIEW:
  54.                 return $this->canView($tag$token);
  55.             case self::EDIT:
  56.                 return $this->canEdit($tag$token);
  57.             case self::CREATE:
  58.                 return $this->canCreate($tag$token);
  59.             case self::DELETE:
  60.                 return $this->canDelete($tag$token);
  61.             case self::USE:
  62.                 return $this->canUse($tag$token);
  63.         }
  64.         throw new \LogicException('This code should not be reached!');
  65.     }
  67.     private function canCreate(TagInterface $tagTokenInterface $token): bool
  68.     {
  69.         if ($this->decisionManager->decide($token, ['ROLE_GINGER_TAG_CREATE'])) {
  70.             return true;
  71.         }
  73.         return false;
  74.     }
  76.     private function canView(TagInterface $tagTokenInterface $token): bool
  77.     {
  78.        // Everyone can view tags
  79.         return true;
  80.     }
  82.     private function canEdit(TagInterface $tagTokenInterface $token): bool
  83.     {
  84.         if (!$this->decisionManager->decide($token, ['ROLE_GINGER_TAG_EDIT'])) {
  85.             return false;
  86.         }
  88.         $user $token->getUser();
  89.         // "God users" have no groups
  90.         if ($user->getGroups()->isEmpty()) {
  91.             return true;
  92.         }
  94.         // Users groups must have the tag
  95.         /**@var GroupInterface $group */
  96.         foreach ($user->getGroups() as $group) {
  97.             if ($group->getTags()->contains($tag)) {
  99.                 return true;
  100.             }
  101.         }
  103.         return false;
  104.     }
  106.     private function canDelete(TagInterface $tagTokenInterface $token): bool
  107.     {
  108.         if ($this->canEdit($tag$token) && $this->decisionManager->decide($token, ['ROLE_GINGER_TAG_DELETE'])) {
  109.             return true;
  110.         }
  112.         return false;
  113.     }
  115.     private function canUse(TagInterface $tagTokenInterface $token): bool
  116.     {
  117.         // everyone may use general tags
  118.         if ($tag->getType() === TagInterface::TYPE_GENERAL) {
  119.             return true;
  120.         }
  122.         $user $token->getUser();
  123.         // "God users" have no groups
  124.         if ($user->getGroups()->isEmpty()) {
  125.             return true;
  126.         }
  128.         // Special usecase: Editors may use special tags when merging duplicates.
  129.         // https://mantis.dwerk.at/view.php?id=29636
  130.         if ($this->decisionManager->decide($token, ['ROLE_GINGER_DUPLICATE_CONTROLLER'])) {
  131.             return true;
  132.         }
  134.         // Users groups must have the tag
  135.         /**@var GroupInterface $group */
  136.         foreach ($user->getGroups() as $group) {
  137.             if ($group->getTags()->contains($tag)) {
  139.                 return true;
  140.             }
  141.         }
  143.         return false;
  144.     }
  145. }