src/Security/UserVoter.php line 11

  1. <?php
  2. namespace App\Security;
  4. use App\Entity\Users;
  5. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  6. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  7. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  8. use Doctrine\ORM\EntityManagerInterface;
  9. use App\Service\UserHelper;
  11. class UserVoter extends Voter
  12. {
  13.     const ACCESS= [ 
  14.         'user_edit_super_critical_info' => 'user_edit_super_critical_info'//super admins only
  15.         'user_allowed_4_profile_editor'
  16.             => 'user_allowed_4_profile_editor'//super admins and profiles editor only
  17.         'user_allowed_4_profile_editor_or_self_user_if_only_empty'
  18.             => 'user_allowed_4_profile_editor_or_self_user_if_only_empty'//super admins & profiles editors. And if field is empty then also the user
  19.         'user_edit_critical_info' => 'user_edit_critical_info'//all admins
  20.         'user_edit_info_if_only_empty' => 'user_edit_info_if_only_empty',  //all admins. And if field is empty then also the user
  21.         'user_edit_mobile_num_if_only_empty'
  22.             => 'user_edit_mobile_num_if_only_empty' //super admins. and if field is empty then also vehicles admin and profiles admin
  23.         ];
  25.     /**
  26.      * @var AccessDecisionManager|null
  27.      */
  28.     protected \Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface $decisionManager;
  30.     /**
  31.      * @var EntityManager|null
  32.      */
  33.     protected \Doctrine\ORM\EntityManagerInterface $entityManager;
  35.     /**
  36.      * @var EntityManager|null
  37.      */
  38.     protected \App\Service\UserHelper $userHelper;
  41.     /**
  42.      * DelegateVoter constructor.
  43.      * @param AccessDecisionManager|null $decisionManager
  44.      * @param EntityManager|null $entityManager
  45.      */
  46.     public function __construct(AccessDecisionManagerInterface $decisionManagerEntityManagerInterface $entityManagerUserHelper $userHelper)
  47.     {
  48.         $this->decisionManager $decisionManager;
  49.         $this->entityManager $entityManager;
  50.         $this->userHelper $userHelper;
  51.     }
  53.     /**
  54.      * determines if your voter should vote on the attribute/subject combination. If you return true,
  55.      * voteOnAttribute() will be called. Otherwise, your voter is done: some other voter should process this
  56.      */
  57.     protected function supports($attribute$subject): bool
  58.     {
  59.         // if the attribute isn't one we support, return false
  60.         // only vote on Users objects inside this voter
  61.         //        if ($subject && !$subject instanceof Users) {
  62.         //            return false;
  63.         //        }
  64.         return in_array($attributeself::ACCESS);
  65.     }
  67.     /**
  68.      * If you return true from supports(), then this method is called. Your job is simple: return true to allow access
  69.      * and false to deny access
  70.      */
  71.     protected function voteOnAttribute($attribute$subjectTokenInterface $token): bool
  72.     {
  73.         $loggedinUser $token->getUser();
  75.         if (!$loggedinUser instanceof Users) {
  76.             return false// the user must be logged in; if not, deny access
  77.         }
  78.         
  79.         // ROLE_SUPER_ADMIN can do anything! The power! Calling decide() on the AccessDecisionManager is essentially the same
  80.         // as calling isGranted() from a controller or other places (it's just a little lower-level, which is necessary for a voter).
  81.         if ($this->decisionManager->decide($token, ['ROLE_SUPER_ADMIN'])) {
  82.             return true;
  83.         }
  85.         switch ($attribute) {
  86.             case self::ACCESS['user_edit_super_critical_info']:
  87.                 //no one except super admins can edit
  88.                 return false;
  89.             case self::ACCESS['user_edit_critical_info']:
  90.                 return $this->decisionManager->decide($token, ['ROLE_ADMIN']); //all admins are allowed
  91.             case self::ACCESS['user_allowed_4_profile_editor']:
  92.                 return $this->decisionManager->decide($token, ['ROLE_PROFILES_EDITOR']); //only profile editors are allowed
  93.             case self::ACCESS['user_edit_info_if_only_empty']:
  94.                 return $this->decisionManager->decide($token, ['ROLE_ADMIN']) || empty($subject); //admin can edit. otherwise, only if field is empty it can be edited
  95.             case self::ACCESS['user_allowed_4_profile_editor_or_self_user_if_only_empty']:
  96.                 return $this->canEditIfRoleProfileEditorOrSelfUserIfEmpty($token$subject);
  97.             case self::ACCESS['user_edit_mobile_num_if_only_empty']:
  98.                 return ($this->decisionManager->decide($token, ['ROLE_VEHICLES_ADMIN']) && empty($subject))
  99.                     || ($this->decisionManager->decide($token, ['ROLE_PROFILES_ADMIN']) && empty($subject)); //vehicles admin and profiles admin can edit only if field is empty
  100.         }
  102.         throw new \LogicException('This code should not be reached!');
  103.     }
  105.     /**
  106.      * allow if
  107.      * 1- the user has ROLE_PROFILES_EDITOR role
  108.      * 2- or he is editing his own info if the field is empty
  109.      */
  110.     private function canEditIfRoleProfileEditorOrSelfUserIfEmpty($token$subject)
  111.     {
  112.         if ($this->decisionManager->decide($token, ['ROLE_PROFILES_EDITOR'])) {
  113.             return true;
  114.         } elseif ($subject['user']->getUserId() == $token->getUser()->getUserId()
  115.                 && empty($subject['subject'])) {
  116.             //            echo "caused by form :". $subject['user']->getUserId() . ':'. $token->getUser()->getUserId();
  117.             return true;
  118.         }
  119. //        die("DIED".$subject['subject']);
  121.         return false;
  122.     }
  124. }