src/Security/Voter/UserVoter.php line 13

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter;
  5. use App\Entity\Role;
  6. use App\Entity\User;
  7. use App\Service\UserService;
  8. use LogicException;
  9. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  10. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  11. use Symfony\Component\Security\Core\Security;
  13. class UserVoter extends Voter
  14. {
  15.     public const VIEW_USER 'view_user';
  16.     public const EDIT_USER 'edit_user';
  17.     public const LIST_USERS 'list_users';
  18.     public const CREATE_USER 'create_user';
  19.     public const CHANGE_PASS 'change_pass';
  20.     public const LOCK_USER 'lock_user';
  21.     public const UNLOCK_USER 'unlock_user';
  22.     public const DELETE_USER 'delete_user';
  24.     /** @var UserService $userService */
  25.     private $userService;
  27.     /**
  28.      * UserVoter constructor.
  29.      * @param UserService $userService
  30.      */
  31.     public function __construct(UserService $userService)
  32.     {
  33.         $this->userService $userService;
  34.     }
  36.     /**
  37.      * @inheritDoc
  38.      */
  39.     protected function supports($attribute$subject): bool
  40.     {
  41.         // if the attribute isn't one we support, return false
  42.         if (
  43.             !in_array($attribute, [
  44.                 self::VIEW_USER,
  45.                 self::EDIT_USER,
  46.                 self::LIST_USERS,
  47.                 self::CREATE_USER,
  48.                 self::CHANGE_PASS,
  49.                 self::LOCK_USER,
  50.                 self::UNLOCK_USER,
  51.                 self::DELETE_USER
  52.             ])
  53.         ) {
  54.             return false;
  55.         }
  57.         // only vote on User objects inside this voter
  58.         if (!$subject instanceof User) {
  59.             return false;
  60.         }
  62.         return true;
  63.     }
  65.     /**
  66.      * @inheritDoc
  67.      */
  68.     protected function voteOnAttribute($attribute$subjectTokenInterface $token): bool
  69.     {
  70.         $user $token->getUser();
  72.         if (!$user instanceof User) {
  73.             // the user must be logged in; if not, deny access
  74.             return false;
  75.         }
  77.         // you know $subject is a User object, thanks to supports
  78.         /** @var User $userSubject */
  79.         $userSubject $subject;
  81.         switch ($attribute) {
  82.             case self::CREATE_USER:
  83.                 return $this->canCreate($user);
  84.             case self::VIEW_USER:
  85.                 return $this->canView($userSubject$user);
  86.             case self::EDIT_USER:
  87.                 return $this->canEdit($userSubject$user);
  88.             case self::LIST_USERS:
  89.                 return $this->canList($user);
  90.             case self::CHANGE_PASS:
  91.                 return $this->canChangePass($userSubject$user);
  92.             case self::LOCK_USER:
  93.                 return $this->canLock($userSubject$user);
  94.             case self::UNLOCK_USER:
  95.                 return $this->canUnlock($userSubject$user);
  96.             case self::DELETE_USER:
  97.                 return $this->canDelete($userSubject$user);
  98.         }
  100.         throw new LogicException('This code should not be reached!');
  101.     }
  103.     /**
  104.      * @param User $userSubject
  105.      * @param User $user
  106.      * @return bool
  107.      */
  108.     private function canView(User $userSubjectUser $user): bool
  109.     {
  110.         // if they can edit, they can view
  111.         if ($this->canEdit($userSubject$user)) {
  112.             return true;
  113.         }
  115.         return false;
  116.     }
  118.     /**
  119.      * @param User $user
  120.      * @return bool
  121.      */
  122.     private function canCreate(User $user): bool
  123.     {
  124.         return $this->userService->isAdmin($user);
  125.     }
  127.     /**
  128.      * @param User $userSubject
  129.      * @param User $user
  130.      * @return bool
  131.      */
  132.     private function canEdit(User $userSubjectUser $user): bool
  133.     {
  134.         if ($user === $userSubject) {
  135.             // this assumes that the data object has a getId() method
  136.             // to get the entity of the user who owns this data object
  137.             return true;
  138.         }
  140.         if ($userSubject->isSuperAdmin()) {
  141.             return false;
  142.         }
  144.         return $this->canByRoles($userSubject$user);
  145.     }
  147.     /**
  148.      * @param User $user
  149.      * @return bool
  150.      */
  151.     private function canList(User $user): bool
  152.     {
  153.         return $this->userService->isAdmin($user);
  154.     }
  156.     /**
  157.      * @param User $userSubject
  158.      * @param User $user
  159.      * @return bool
  160.      */
  161.     private function canChangePass(User $userSubjectUser $user): bool
  162.     {
  163.         return $user === $userSubject;
  164.     }
  166.     /**
  167.      * @param User $userSubject
  168.      * @param User $user
  169.      * @return bool
  170.      */
  171.     private function canUnlock(User $userSubjectUser $user): bool
  172.     {
  173.         if ($this->canLock($userSubject$user)) {
  174.             return true;
  175.         }
  177.         return false;
  178.     }
  180.     /**
  181.      * @param User $userSubject
  182.      * @param User $user
  183.      * @return bool
  184.      */
  185.     private function canDelete(User $userSubjectUser $user): bool
  186.     {
  187.         if ($this->canLock($userSubject$user)) {
  188.             return true;
  189.         }
  191.         return false;
  192.     }
  194.     /**
  195.      * @param User $userSubject
  196.      * @param User $user
  197.      * @return bool
  198.      */
  199.     private function canLock(User $userSubjectUser $user): bool
  200.     {
  201.         if ($userSubject->isSuperAdmin() || $user === $userSubject) {
  202.             return false;
  203.         }
  205.         return $this->canByRoles($userSubject$user);
  206.     }
  208.     /**
  209.      * @param User $userSubject
  210.      * @param User $user
  211.      * @return bool
  212.      */
  213.     private function canByRoles(User $userSubjectUser $user): bool
  214.     {
  215.         // logged user is admin of userSubject
  216.         /** @var Role $role */
  217.         foreach ($user->getRolesAsObject() as $role) {
  218.             if ($role->getChildren()->count()) {
  219.                 return $this->userService->isSubordinate($user$userSubject);
  220.             }
  221.         }
  222.         return false;
  223.     }
  224. }