src/Core/Application/Security/AccountVoter.php line 33

Open in your IDE?
  1. <?php
  2. /**
  3.  * This file is part of the educat package.
  4.  *
  5.  * (c) Solvee
  6.  *
  7.  * For the full copyright and license information, please view the LICENSE
  8.  * file that was distributed with this source code.
  9.  */
  10. declare(strict_types=1);
  12. namespace App\Core\Application\Security;
  14. use App\Common\Model\Core\AccountInterface;
  15. use App\Common\Model\Core\UserInterface;
  16. use App\Common\Security\AccountRole;
  17. use App\Common\Security\ObjectOwnerVoterInterface;
  18. use App\Common\Security\ObjectOwnerVoterTrait;
  19. use App\Core\Domain\Entity\Account;
  20. use App\Core\Domain\Entity\User;
  21. use LogicException;
  22. use Symfony\Component\HttpFoundation\RequestStack;
  23. use Symfony\Component\HttpKernel\Exception\BadRequestHttpException;
  24. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  25. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  26. use Symfony\Component\Security\Core\Security;
  28. /**
  29.  * Class AccountVoter
  30.  *
  31.  * @author  Mateusz Korkosz <korkosz.mateusz@gmail.com>
  32.  */
  33. class AccountVoter extends Voter implements ObjectOwnerVoterInterface
  34. {
  35.     use ObjectOwnerVoterTrait;
  37.     public const EDIT                     'update_account';
  38.     public const DELETE                   'delete_account';
  39.     public const TOGGLE_NOTIFICATIONS     'toggle_notifications';
  40.     public const GENERATE_ONBOARDING_LINK 'generate_onboarding_link';
  42.     private Security     $security;
  43.     private RequestStack $requestStack;
  45.     /**
  46.      * AccountVoter constructor.
  47.      *
  48.      * @param Security     $security
  49.      * @param RequestStack $requestStack
  50.      */
  51.     public function __construct(Security $securityRequestStack $requestStack)
  52.     {
  53.         $this->security     $security;
  54.         $this->requestStack $requestStack;
  55.     }
  57.     /**
  58.      * @param string $attribute
  59.      * @param mixed  $subject
  60.      *
  61.      * @return bool
  62.      */
  63.     protected function supports(mixed $attributemixed $subject)
  64.     {
  65.         if (!in_array(
  66.             $attribute,
  67.             [
  68.                 self::EDIT,
  69.                 self::DELETE,
  70.                 self::TOGGLE_NOTIFICATIONS,
  71.                 self::GENERATE_ONBOARDING_LINK,
  72.                 self::OBJECT_OWNER,
  73.             ],
  74.             true
  75.         )) {
  76.             return false;
  77.         }
  79.         return $subject instanceof Account;
  80.     }
  82.     /**
  83.      * @param string         $attribute
  84.      * @param Account        $subject
  85.      * @param TokenInterface $token
  86.      *
  87.      * @return bool
  88.      */
  89.     protected function voteOnAttribute(mixed $attributemixed $subjectTokenInterface $token)
  90.     {
  91.         $user $token->getUser();
  93.         if (self::TOGGLE_NOTIFICATIONS === $attribute) {
  94.             $nullableUser $user instanceof UserInterface ?
  95.                 $user :
  96.                 null;
  98.             return $this->canToggleNotifications($subject$nullableUser);
  99.         }
  101.         if (!$user instanceof User) {
  102.             return false;
  103.         }
  105.         if (self::GENERATE_ONBOARDING_LINK === $attribute) {
  106.             return $this->canGenerateOnboardingLink($subject$user);
  107.         }
  109.         if (self::EDIT === $attribute) {
  110.             return $this->canEdit($subject$user);
  111.         }
  113.         if (self::DELETE === $attribute) {
  114.             return $this->canDelete($subject$user);
  115.         }
  117.         if (self::OBJECT_OWNER === $attribute) {
  118.             return $this->isObjectOwner($subject$user->getAccount());
  119.         }
  121.         throw new LogicException('This code should not be reached!');
  122.     }
  124.     /**
  125.      * @param AccountInterface $subject
  126.      * @param UserInterface    $user
  127.      *
  128.      * @return bool
  129.      */
  130.     private function canGenerateOnboardingLink(AccountInterface $subjectUserInterface $user): bool
  131.     {
  132.         return $this->isOwner($subject$user);
  133.     }
  135.     /**
  136.      * @param AccountInterface   $subject
  137.      * @param UserInterface|null $user
  138.      *
  139.      * @return bool
  140.      */
  141.     private function canToggleNotifications(AccountInterface $subject, ?UserInterface $user null): bool
  142.     {
  143.         if ($this->security->isGranted(AccountRole::ADMIN)) {
  144.             return true;
  145.         }
  146.         if ($user instanceof UserInterface && $user->getAccount() === $subject) {
  147.             return true;
  148.         }
  150.         $request $this->requestStack->getMasterRequest();
  151.         if (!$request) {
  152.             return false;
  153.         }
  155.         $token $request->headers->get('X-Toggle-Notifications-Token');
  157.         $this->throwOnInvalidToken($token$subject);
  159.         return true;
  160.     }
  162.     /**
  163.      * @param Account $account
  164.      * @param User    $user
  165.      *
  166.      * @return bool
  167.      */
  168.     private function canEdit(Account $accountUser $user): bool
  169.     {
  170.         return $this->isOwner($account$user);
  171.     }
  173.     /**
  174.      * @param Account $account
  175.      * @param User    $user
  176.      *
  177.      * @return bool
  178.      */
  179.     private function canDelete(Account $accountUser $user): bool
  180.     {
  181.         return $this->isOwner($account$user);
  182.     }
  184.     /**
  185.      * @param AccountInterface $account
  186.      * @param UserInterface    $user
  187.      *
  188.      * @return bool
  189.      */
  190.     private function isOwner(AccountInterface $accountUserInterface $user): bool
  191.     {
  192.         $accountUser $account->getUser();
  193.         if (!$accountUser instanceof UserInterface) {
  194.             return false;
  195.         }
  197.         return $user->getId()->equals($accountUser->getId()) || $this->security->isGranted(AccountRole::ADMIN);
  198.     }
  200.     /**
  201.      * @param string|null      $token
  202.      * @param AccountInterface $subject
  203.      */
  204.     private function throwOnInvalidToken(?string $tokenAccountInterface $subject): void
  205.     {
  206.         if (!$token || $subject->getNotificationsToggleToken() !== $token) {
  207.             throw new BadRequestHttpException('Given token is invalid');
  208.         }
  209.     }
  210. }