src/Security/UserVoter.php line 11

Open in your IDE?
  1. <?php
  2. namespace App\Security;
  4. use App\Entity\Users;
  5. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  6. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  7. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  8. use Doctrine\ORM\EntityManagerInterface;
  9. use App\Service\UserHelper;
  11. class UserVoter extends Voter
  12. {
  13.     const ACCESS= [ 
  14.         'user_edit_super_critical_info' => 'user_edit_super_critical_info'//super admins only
  15.         'user_allowed_4_profile_editor'
  16.             => 'user_allowed_4_profile_editor'//super admins and profiles editor only
  17.         'user_allowed_4_profile_editor_or_self_user_if_only_empty'
  18.             => 'user_allowed_4_profile_editor_or_self_user_if_only_empty'//super admins & profiles editors. And if field is empty then also the user
  19.         'user_edit_critical_info' => 'user_edit_critical_info'//all admins
  20.         'user_edit_info_if_only_empty' => 'user_edit_info_if_only_empty',  //all admins. And if field is empty then also the user
  21.         'user_edit_mobile_num_if_only_empty'
  22.             => 'user_edit_mobile_num_if_only_empty' //super admins. and if field is empty then also vehicles admin and profiles admin
  23.         ];
  25.     /**
  26.      * @var AccessDecisionManager|null
  27.      */
  28.     protected $decisionManager;
  30.     /**
  31.      * @var EntityManager|null
  32.      */
  33.     protected $entityManager;
  35.     /**
  36.      * @var EntityManager|null
  37.      */
  38.     protected $userHelper;
  41.     /**
  42.      * DelegateVoter constructor.
  43.      * @param AccessDecisionManager|null $decisionManager
  44.      * @param EntityManager|null $entityManager
  45.      */
  46.     public function __construct(AccessDecisionManagerInterface $decisionManagerEntityManagerInterface $entityManagerUserHelper $userHelper)
  47.     {
  48.         $this->decisionManager $decisionManager;
  49.         $this->entityManager $entityManager;
  50.         $this->userHelper $userHelper;
  51.     }
  53.     /**
  54.      * determines if your voter should vote on the attribute/subject combination. If you return true, 
  55.      * voteOnAttribute() will be called. Otherwise, your voter is done: some other voter should process this
  56.      */
  57.     protected function supports($attribute$subject)
  58.     {
  59.         // if the attribute isn't one we support, return false
  60.         if (!in_array($attributeself::ACCESS)) {
  61.             return false;
  62.         }
  64.         // only vote on Users objects inside this voter
  65. //        if ($subject && !$subject instanceof Users) {
  66. //            return false;
  67. //        }
  68.         return true;
  69.     }
  71.     /**
  72.      * If you return true from supports(), then this method is called. Your job is simple: return true to allow access 
  73.      * and false to deny access
  74.      */
  75.     protected function voteOnAttribute($attribute$subjectTokenInterface $token)
  76.     {
  77.         $loggedinUser $token->getUser();
  79.         if (!$loggedinUser instanceof Users) {
  80.             return false// the user must be logged in; if not, deny access
  81.         }
  82.         
  83.         // ROLE_SUPER_ADMIN can do anything! The power! Calling decide() on the AccessDecisionManager is essentially the same
  84.         // as calling isGranted() from a controller or other places (it's just a little lower-level, which is necessary for a voter).
  85.         if ($this->decisionManager->decide($token, ['ROLE_SUPER_ADMIN'])) {
  86.             return true;
  87.         }
  89.         switch ($attribute) {
  90.             case self::ACCESS['user_edit_super_critical_info']:
  91.                 //no one except super admins can edit
  92.                 return false;
  93.             case self::ACCESS['user_edit_critical_info']:
  94.                 return $this->decisionManager->decide($token, ['ROLE_ADMIN']); //all admins are allowed
  95.             case self::ACCESS['user_allowed_4_profile_editor']:
  96.                 return $this->decisionManager->decide($token, ['ROLE_PROFILES_EDITOR']); //only profile editors are allowed
  97.             case self::ACCESS['user_edit_info_if_only_empty']:
  98.                 return $this->decisionManager->decide($token, ['ROLE_ADMIN']) || empty($subject); //admin can edit. otherwise, only if field is empty it can be edited
  99.             case self::ACCESS['user_allowed_4_profile_editor_or_self_user_if_only_empty']:
  100.                 return $this->canEditIfRoleProfileEditorOrSelfUserIfEmpty($token$subject);
  101.             case self::ACCESS['user_edit_mobile_num_if_only_empty']:
  102.                 return ($this->decisionManager->decide($token, ['ROLE_VEHICLES_ADMIN']) && empty($subject))
  103.                     || ($this->decisionManager->decide($token, ['ROLE_PROFILES_ADMIN']) && empty($subject)); //vehicles admin and profiles admin can edit only if field is empty
  104.         }
  106.         throw new \LogicException('This code should not be reached!');
  107.     }
  109.     /**
  110.      * allow if
  111.      * 1- the user has ROLE_PROFILES_EDITOR role
  112.      * 2- or he is editing his own info if the field is empty
  113.      */
  114.     private function canEditIfRoleProfileEditorOrSelfUserIfEmpty($token$subject)
  115.     {
  116.         if ($this->decisionManager->decide($token, ['ROLE_PROFILES_EDITOR'])) {
  117.             return true;
  118.         }else if($subject['user']->getUserId() == $token->getUser()->getUserId()
  119.                 && empty($subject['subject']) ){
  120. //            echo "caused by form :". $subject['user']->getUserId() . ':'. $token->getUser()->getUserId();
  121.             return true;
  122.         }
  123. //        die("DIED".$subject['subject']);
  125.         return false;
  126.     }
  128. }