src/Security/AdminUserVoter.php line 16

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. namespace App\Security;
  7. use App\Entity\User\AdminRoleInterface;
  8. use App\Entity\User\AdminUser;
  9. use LogicException;
  10. use Symfony\Component\HttpFoundation\RequestStack;
  11. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  12. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  14. use function in_array;
  16. class AdminUserVoter extends Voter
  17. {
  18.     public const SHOW 'show';
  19.     public const UPDATE 'update';
  20.     public const ARCHIVE 'archive';
  22.     public function __construct(
  23.         private readonly RequestStack $requestStack,
  24.     ) {
  25.     }
  27.     protected function supports(string $attributemixed $subject): bool
  28.     {
  29.         // if the attribute isn't one we support, return false
  30.         if (! in_array($attribute, [self::SHOWself::UPDATEself::ARCHIVE], true)) {
  31.             return false;
  32.         }
  34.         return $subject instanceof AdminUser;
  35.     }
  37.     protected function voteOnAttribute(string $attributemixed $subjectTokenInterface $token): bool
  38.     {
  39.         $loggedAdminUser $token->getUser();
  41.         if (! $loggedAdminUser instanceof AdminUser) {
  42.             // the user must be logged in; if not, deny access
  43.             return false;
  44.         }
  46.         /** @var AdminUser $adminUser */
  47.         $adminUser $subject;
  49.         return match ($attribute) {
  50.             self::SHOW => $this->canShow($adminUser$loggedAdminUser),
  51.             self::UPDATE => $this->canUpdate($adminUser$loggedAdminUser),
  52.             self::ARCHIVE => $this->canArchive($adminUser$loggedAdminUser),
  53.             default => throw new LogicException('This code should not be reached!')
  54.         };
  55.     }
  57.     private function canShow(AdminUser $adminUserAdminUser $loggedAdminUser): bool
  58.     {
  59.         return $this->checkAccess($adminUser$loggedAdminUserself::SHOW);
  60.     }
  62.     private function canUpdate(AdminUser $adminUserAdminUser $loggedAdminUser): bool
  63.     {
  64.         return $this->checkAccess($adminUser$loggedAdminUserself::UPDATE);
  65.     }
  67.     private function canArchive(AdminUser $adminUserAdminUser $loggedAdminUser): bool
  68.     {
  69.         $loggedClinicalManager $loggedAdminUser->getCustomer()?->getClinicalManager();
  71.         return $loggedClinicalManager === null ||
  72.             $adminUser->getCustomer()?->getClinicalManager()?->getAttachedClinicalManager()?->getId() === $loggedClinicalManager->getId();
  73.     }
  75.     public function checkAccess(AdminUser $adminUserAdminUser $loggedAdminUserstring $attribute): bool
  76.     {
  77.         $loggedClinicalManager $loggedAdminUser->getCustomer()?->getClinicalManager();
  79.         $request $this->requestStack->getCurrentRequest();
  80.         if ($request === null) {
  81.             return false;
  82.         }
  84.         if ($request->get('_route') === 'app_admin_clinical_manager_' $attribute && $adminUser->hasRoleResourceByCode(AdminRoleInterface::CLINICAL_MANAGER)) {
  85.             if ($loggedClinicalManager === null) {
  86.                 return true;
  87.             }
  89.             return $adminUser->getCustomer()?->getClinicalManager()?->getId() === $loggedClinicalManager->getId() || $adminUser->getCustomer()?->getClinicalManager()?->getAttachedClinicalManager()?->getId() === $loggedClinicalManager->getId();
  90.         }
  92.         return $request->get('_route') === 'sylius_admin_admin_user_' $attribute && ! $adminUser->hasRoleResourceByCode(AdminRoleInterface::CLINICAL_MANAGER) && ! $adminUser->hasRole('ROLE_API_ACCESS');
  93.     }
  94. }