src/Security/Api/Authorization/Voter/RoleVoter.php line 24

Open in your IDE?
  1. <?php
  3. namespace App\Security\Api\Authorization\Voter;
  5. use App\Entity\Api\CoreModule\User;
  6. use App\Helper\Api\Entity\RequestDataContainer;
  7. use App\Helper\Api\Translator\ApiTranslator;
  8. use App\Security\Api\Authorization\RoleConfiguration\RoleConfigurationServiceSubscriber;
  9. use App\Security\Api\Authorization\VoterAttribute\AbstractVoterAttribute;
  10. use LogicException;
  11. use Psr\Container\ContainerExceptionInterface;
  12. use Psr\Container\NotFoundExceptionInterface;
  13. use Symfony\Component\HttpKernel\Exception\AccessDeniedHttpException;
  14. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  16. /**
  17.  * API catch all role voter.
  18.  *
  19.  * Denies access unless role configuration allows access.
  20.  *
  21.  * @package API
  22.  * @internal
  23.  */
  24. class RoleVoter extends AbstractApiBaseVoter
  25. {
  27.     /**
  28.      * Role configuration service subscriber.
  29.      *
  30.      * @var RoleConfigurationServiceSubscriber
  31.      */
  32.     protected RoleConfigurationServiceSubscriber $roleConfigurationServiceSubscriber;
  34.     /**
  35.      * Translator for all API controllers.
  36.      *
  37.      * @var ApiTranslator
  38.      */
  39.     protected ApiTranslator $translator;
  41.     /**
  42.      * Constructor.
  43.      *
  44.      * @param ApiTranslator $translator API translator.
  45.      * @param RoleConfigurationServiceSubscriber $roleConfigurationServiceSubscriber Role configuration service
  46.      *                                                                               subscriber.
  47.      */
  48.     public function __construct(
  49.         ApiTranslator $translator,
  50.         RoleConfigurationServiceSubscriber $roleConfigurationServiceSubscriber
  51.     ) {
  52.         $this->translator $translator;
  53.         $this->roleConfigurationServiceSubscriber $roleConfigurationServiceSubscriber;
  54.     }
  56.     /**
  57.      * Determines if the attribute and subject are supported by this voter.
  58.      *
  59.      * @param string $attribute An attribute.
  60.      * @param mixed $subject The subject to secure, e.g. an object the user wants to access or any other PHP type.
  61.      *
  62.      * @return bool
  63.      */
  64.     protected function supports(string $attribute$subject): bool
  65.     {
  66.         // requires data container
  67.         if (!$subject instanceof RequestDataContainer) {
  68.             return false;
  69.         }
  71.         // votes then on every API call when attribute format is valid
  72.         return AbstractVoterAttribute::isValidAttribute($attribute);
  73.     }
  75.     /**
  76.      * Perform a single access check operation on a given attribute, subject and token.
  77.      * It is safe to assume that $attribute and $subject already passed the "supports()" method check.
  78.      *
  79.      * @param string $attribute An attribute.
  80.      * @param mixed $subject The subject to secure, e.g. an object the user wants to access or any other PHP type.
  81.      * @param TokenInterface $token The token interface.
  82.      * @return bool
  83.      */
  84.     protected function voteOnAttribute(string $attributemixed $subjectTokenInterface $token): bool
  85.     {
  86.         $user $token->getUser();
  87.         if (!$user instanceof User) {
  88.             // the user must be logged in, otherwise deny access
  89.             return false;
  90.         }
  91.         if (!$this->supports($attribute$subject)) {
  92.             throw new LogicException('This code should not be reached!');
  93.         }
  94.         if (!$subject instanceof RequestDataContainer) {
  95.             throw new LogicException('This voter requires a RequestDataContainer object passed as subject!');
  96.         }
  97.         try {
  98.             $roles $this->roleConfigurationServiceSubscriber->getRoles($attribute);
  99.             $allowed = !empty(array_intersect($user->getRoles(), $roles));
  100.             if (!$allowed) {
  101.                 $subject->setException(
  102.                     new AccessDeniedHttpException($this->translator->t('authorization.access_denied'))
  103.                 );
  104.             }
  106.             return $allowed;
  107.         } catch (NotFoundExceptionInterface|ContainerExceptionInterface $exception) {
  108.             $subject->setException(
  109.                 new AccessDeniedHttpException($this->translator->t('authorization.access_denied'), $exception)
  110.             );
  112.             return false;
  113.         }
  114.     }
  116. }