src/Services/Common/AclServiceV2.php line 144

Open in your IDE?
  1. <?php
  3. namespace App\Services\Common;
  5. use App\Constants\ACL;
  6. use App\Constants\UserExtension;
  7. use App\Entity\AclSetting;
  8. use App\Entity\Parameter;
  9. use App\Entity\Univers;
  10. use App\Entity\User;
  11. use App\Model\AclSettingConfig;
  12. use App\Model\Product;
  13. use App\Services\Back\ParameterService;
  14. use App\Services\Front\Catalogue\JsonCatalogueService;
  15. use Doctrine\ORM\EntityManagerInterface;
  16. use JsonException;
  17. use League\Csv\Exception;
  18. use Psr\Log\LoggerInterface;
  19. use Symfony\Component\Routing\RouterInterface;
  20. use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorageInterface;
  22. /**
  23. * Service pour la gestion des ACL V2 coté Plateforme
  24. */
  25. class AclServiceV2
  26. {
  27. private RouterInterface $router;
  28. private TokenStorageInterface $tokenStorage;
  29. private ParameterService $parameterService;
  30. private EntityManagerInterface $em;
  31. private ModuleSettingService $moduleSettingService;
  32. private JsonCatalogueService $jsonCatalogueService;
  33. private CommunityService $communityService;
  34. private LoggerInterface $logger;
  37. public function __construct(
  38. RouterInterface $router,
  39. ParameterService $parameterService,
  40. TokenStorageInterface $tokenStorage,
  41. EntityManagerInterface $em,
  42. ModuleSettingService $moduleSettingService,
  43. JsonCatalogueService $jsonCatalogueService,
  44. CommunityService $communityService,
  45. LoggerInterface $logger
  46. ) {
  47. $this->router = $router;
  48. $this->parameterService = $parameterService;
  49. $this->tokenStorage = $tokenStorage;
  50. $this->em = $em;
  51. $this->moduleSettingService = $moduleSettingService;
  52. $this->jsonCatalogueService = $jsonCatalogueService;
  53. $this->communityService = $communityService;
  54. $this->logger = $logger;
  55. }
  58. /**
  59. * @param $config
  60. *
  61. * @return false|mixed|string
  62. *
  63. * @throws JsonException
  64. */
  65. public function getNormalizedAclSettingConfigParams($config)
  66. {
  67. $config = $config instanceof AclSettingConfig ? $config->toArray() : $config;
  68. $params = $config[ 'params' ] ?? ACL::ACL_NO_PARAMS;
  70. if (is_array($params)) {
  71. if ($config[ 'route' ] !== NULL) {
  72. $params = $this->getRouteParamsForAcl($config[ 'route' ], $params);
  73. } else {
  74. $params = $this->formatArrayParamsToString($params);
  75. }
  76. } elseif (in_array($params, [NULL, ''], TRUE)) {
  77. $params = ACL::ACL_NO_PARAMS;
  78. }
  80. return $params;
  81. }
  84. /**
  85. * Retourne les params sous forme de string pour les ACL
  86. *
  87. * Supprime les params inutiles comme "_env"
  88. * Supprime les params qui ne sont pas configurés pour être pris en compte dans la route
  89. *
  90. * @param string|null $routeName
  91. * @param array|string|null $params
  92. *
  93. * @return string
  94. *
  95. */
  96. public function getRouteParamsForAcl(?string $routeName, $params): string
  97. {
  98. // cette fonction doit être capable de normalizer les params qui sont en string ou en array
  99. if (is_string($params)) {
  100. try {
  101. $params = json_decode($params, TRUE, 512, JSON_THROW_ON_ERROR);
  102. } catch (JsonException $e) {
  103. $this->logger->error($e->getMessage());
  104. $params = [];
  105. }
  106. }
  108. //unset de la clef _env présente en back_office
  109. if (isset($params[ '_env' ])) {
  110. unset($params[ '_env' ]);
  111. }
  113. $paramsOptions = $this->getAclRouteOptions($routeName);
  115. foreach ($paramsOptions as $key => $value) {
  116. if (isset($params[ $key ]) && !$value) {
  117. unset($params[ $key ]);
  118. }
  119. }
  121. return $this->formatArrayParamsToString($params);
  122. }
  125. /**
  126. * Retourne les informations de la clef acl dans les options de la route
  127. *
  128. * Certains params ne doivent pas être pris en compte pour la création des ACL (ex id d'une commande)
  129. * Il faut ajouter dans les options de la route le tableau suivant
  130. * acl :
  131. * id : false <=== le params ID ne doit pas peser dans la règle des ACL
  132. *
  133. * @param string|null $routeName
  134. *
  135. * @return array|mixed|null
  136. */
  137. public function getAclRouteOptions(?string $routeName)
  138. {
  139. if ($routeName === NULL) {
  140. return [];
  141. }
  143. // Récupère les informations complètes de la route courante
  144. $route = $this->router->getRouteCollection()->get($routeName);
  145. if ($route === NULL) {
  146. return [];
  147. }
  148. return $route->getOption('acl') ?? [];
  149. }
  152. /**
  153. * Normalise le json_encode des params pour la transformation array to string
  154. *
  155. * @param array|null $params
  156. *
  157. * @return string
  158. */
  159. public function formatArrayParamsToString(?array $params): string
  160. {
  161. if ($params === NULL) {
  162. return ACL::ACL_NO_PARAMS;
  163. }
  165. try {
  166. return json_encode($params, JSON_THROW_ON_ERROR | JSON_UNESCAPED_UNICODE);
  167. } catch (JsonException $e) {
  168. $this->logger->error($e->getMessage());
  169. return ACL::ACL_NO_PARAMS;
  170. }
  171. }
  174. /**
  175. * Récupère l'environnement d'une route (front ou back) par le début du routename
  176. *
  177. * @param string $routeName
  178. *
  179. * @return string
  180. */
  181. public function getEnvByRoute(string $routeName): string
  182. {
  183. if (str_contains($routeName, ACL::START_ROUTE_BACK)) {
  184. return ACL::BACK_ENV;
  185. }
  186. return ACL::FRONT_ENV;
  187. }
  190. /**
  191. * Remplit le fichier d'ACL avec les données lors du POST de la modale
  192. *
  193. * @param AclSettingConfig $config
  194. * @param array $acl
  195. * @param bool $debug
  196. *
  197. * @return array
  198. */
  199. public function setAllData(AclSettingConfig $config, array $acl = [], bool $debug = FALSE): array
  200. {
  201. $acls = [];
  203. foreach ($acl as $role => $jobs) {
  204. $config->setRole($role);
  205. foreach ($jobs as $job => $value) {
  206. $config->setJob($job);
  207. $acls[] = $this->setData($config, $value, FALSE);
  208. }
  209. }
  211. // reset de la config si on en a besoin ultérieurement
  212. $config
  213. ->setRole(NULL)
  214. ->setJob(NULL)
  215. ;
  217. $this->em->flush();
  219. return $acls;
  220. }
  223. /**
  224. * Set 1 ligne d'acl uniquement
  225. *
  226. * @param AclSettingConfig $config
  227. * @param bool $value
  228. * @param bool $withFlush
  229. * @param bool $debug
  230. *
  231. * @return AclSetting|float|int|mixed|string|null
  232. */
  233. public function setData(AclSettingConfig $config, bool $value, bool $withFlush = TRUE, bool $debug = FALSE)
  234. {
  235. // SI pas de role set, on met par défaut le ROLE_USER
  236. // TODO voir si on retourne une erreur à la place
  237. if ($config->getRole() === NULL) {
  238. $config->setRole('ROLE_USER');
  239. }
  241. // Si pas de job set, on met la constant ACL_NO_JOB
  242. if ($config->getJob() === NULL) {
  243. $config->setRole(ACL::ACL_NO_JOB);
  244. }
  246. // vérifications des params en fonction de la configuration des routes
  247. $params = $this->getRouteParamsForAcl($config->getRoute(), $config->getParams());
  248. $config->setParams($params);
  250. $registeredAcl = $this->em->getRepository(AclSetting::class)->getAclSettingsFor($config, TRUE);
  252. if ($registeredAcl === NULL) {
  253. $aclSetting = (new AclSetting())
  254. ->setFromAclSettingConfig($config)
  255. ->setConcatKey($config->getConcatKey())
  256. ;
  257. $this->em->persist($aclSetting);
  258. } else {
  259. $aclSetting = $registeredAcl;
  260. }
  261. $aclSetting
  262. ->setValue($value)
  263. ;
  265. if ($withFlush) {
  266. $this->em->flush();
  267. }
  268. return $aclSetting;
  269. }
  272. /**
  273. * @param $config
  274. *
  275. * @return string
  276. * @deprecated
  277. */
  278. private function getConcatKey($config): string
  279. {
  280. $default = [
  281. 'env' => ACL::FRONT_ENV,
  282. 'route' => NULL,
  283. 'params' => ACL::ACL_NO_PARAMS,
  284. 'component' => ACL::ACL_NO_COMPONENT,
  285. 'slug' => ACL::ACL_NO_SLUG,
  286. 'action' => ACL::READ,
  287. ];
  289. $config = array_merge($default, $config);
  291. return $config[ 'env' ] . ACL::ACL_KEY_SEPARATOR . ($config[ 'route' ] ?? '') . ACL::ACL_KEY_SEPARATOR . $config[ 'params' ] . ACL::ACL_KEY_SEPARATOR . $config[ 'component' ] . ACL::ACL_KEY_SEPARATOR . $config[ 'slug' ] . ACL::ACL_KEY_SEPARATOR . $config[ 'action' ];
  292. }
  295. /**
  296. * Retourne l'objet utilisé pour construire le tableau d'ACL dans la modale
  297. *
  298. * @param AclSettingConfig $config
  299. *
  300. * @return array
  301. */
  302. public function getAclConfig(AclSettingConfig $config): array
  303. {
  304. // on garde la route d'origine en mémoire
  305. $routeName = $config->getRoute();
  306. if (NULL === $routeName) {
  307. return [];
  308. }
  310. // on transforme les valeurs pour correspondre aux différents cas
  311. $config = $this->transformAclVariables($config);
  313. $aclItems = $this->getAclItems($config);
  315. $tables = [];
  317. foreach ($aclItems as $role => $jobs) {
  318. $rows = [];
  319. $rows[] = array_merge([$role], array_values($jobs));
  321. $tables[ $role ] = [
  322. 'header' => [array_keys($jobs)],
  323. 'row' => $rows,
  324. ];
  326. // Ajoute au début du tableau $jobs le $role
  327. $rows = [array_merge([$role], array_values($jobs))];
  329. $tables[ $role ] = [
  330. 'rows' => $rows,
  331. 'header' => array_keys($jobs),
  332. ];
  333. }
  335. $data = [
  336. 'method' => 'NaN',
  337. 'env' => $config->getEnv(),
  338. 'route' => $config->getRoute(),
  339. 'params' => $config->getParams(),
  340. 'component' => $config->getComponent(),
  341. 'slug' => $config->getSlug(),
  342. 'action' => $config->getAction(),
  343. 'tables' => $tables,
  345. ];
  348. $route = $this->router->getRouteCollection()->get($routeName);
  349. if ($route !== NULL) {
  350. $defaults = $route->getDefaults();
  351. // On remplace ':' par '::' pour pouvoir utiliser la reflection
  352. $re = '/(.*\w):(\w.*)/m';
  353. $subst = "$1::$2";
  355. $defaults[ '_controller' ] = preg_replace($re, $subst, $defaults[ '_controller' ]);
  356. $method = explode('::', $defaults[ '_controller' ]);
  357. if (method_exists($method[ 0 ], $method[ 1 ])) {
  358. $data[ 'method' ] = $defaults[ '_controller' ];
  359. }
  360. }
  362. $data[ 'routeName' ] = $routeName;
  364. return $data;
  365. }
  368. /**
  369. * Prépare les variables d'ACL en fonction de cas particulier
  370. *
  371. * - slug pas toujours obligatoire
  372. * - les composants "commun" (header, footer) ne dépendent pas de la route
  373. * - les catalogues ne dépendent pas des routes
  374. *
  375. * @param AclSettingConfig $config
  376. *
  377. * @return AclSettingConfig
  378. */
  379. private function transformAclVariables(AclSettingConfig $config): AclSettingConfig
  380. {
  381. // le slug n'est pas toujours obligatoire
  382. if (in_array($config->getSlug(), ['', NULL], TRUE)) {
  383. $config->setSlug(ACL::ACL_NO_SLUG);
  384. }
  386. // les components dans la partie common ne sont pas dépendant de la page
  387. if (strpos($config->getComponent(), 'common.') === 0) {
  388. $config->setRoute(ACL::ACL_ROUTE_FRONT_ALL);
  389. $config->setParams(ACL::ACL_NO_PARAMS);
  390. }
  392. // même principe pour le header dans le back office
  393. if ($config->getEnv() === ACL::BACK_ENV && strpos($config->getComponent(), 'header.') === 0) {
  394. $config->setRoute(ACL::ACL_ROUTE_BACK_ALL);
  395. $config->setParams(ACL::ACL_NO_PARAMS);
  396. }
  398. // on s'occupe d'un acl global de catalogue
  399. if (strpos($config->getSlug(), ACL::ACL_KEY_SLUG_SHOP_CATALOG) === 0) {
  400. $config->setRoute(ACL::ACL_ROUTE_SHOP_CONFIG);
  401. $config->setParams(ACL::ACL_NO_PARAMS);
  402. $config->setEnv(ACL::FRONT_ENV);
  403. }
  404. return $config;
  405. }
  408. /**
  409. * Donne l'ACL correspondant à l'environnement, la route, au composant et à l'action demandés et retourne un
  410. * tableau formaté pour l'affichage de la modale d'édition
  411. *
  412. * @param AclSettingConfig $config
  413. *
  414. * @return array
  415. */
  416. private function getAclItems(AclSettingConfig $config): array
  417. {
  418. $currentUser = $this->tokenStorage->getToken() !== NULL ? $this->tokenStorage->getToken()->getUser() : NULL;
  420. // on est obligé de transformer les clefs en premier en fonction des conditions
  421. $config = $this->transformAclVariables($config);
  423. $rolesAndJobs = $this->getDefaultRoleAndJob();
  425. $acls = [];
  426. foreach ($rolesAndJobs as $role => $jobs) {
  427. $config->setRole($role);
  428. foreach ($jobs as $job => $value) {
  429. $config->setJob($job);
  430. $acls[] = $this->getAclItemForRoleAndJob($config, TRUE, FALSE);
  431. }
  432. }
  434. $formattedResult = [];
  436. // Pour chaque acl, injecte dans $formattedResult les roles et jobs voulus
  437. /** @var AclSetting $acl */
  438. foreach ($acls as $acl) {
  439. $formattedResult[ $acl->getRole() ][ $acl->getJob() ] = $acl->getValue();
  440. }
  442. // Si on est ROLE_ADMIN, on a accès au tableau pour les ROLE_USER
  443. if ($currentUser instanceof User && $currentUser->isAdmin()) {
  444. unset($formattedResult[ 'ROLE_SUPER_ADMIN' ], $formattedResult[ 'ROLE_DEVELOPER' ]);
  445. }
  447. // Si on est ROLE_SUPER_ADMIN, on a accès au tableau pour les ROLE_USER, et ROLE_ADMIN
  448. if ($currentUser instanceof User && $currentUser->isSuperAdmin()) {
  449. unset($formattedResult[ 'ROLE_DEVELOPER' ]);
  450. }
  452. return $formattedResult;
  453. }
  456. /**
  457. * Retourne le tableau des roles et job en fonction de la configuration YAML
  458. *
  459. * Si un role n'a pas de job, le système des acls le considère avec le job ACL::ACL_NO_JOB
  460. *
  461. * @return array[]
  462. */
  463. public function getDefaultRoleAndJob(bool $debug = FALSE): array
  464. {
  465. $tree = $this->communityService->getTreeJobs();
  467. $roles = [
  468. 'ROLE_USER' => array_merge(array_keys(array_filter($tree, static function ($item) {
  469. return !isset($item[ 'role' ]) || $item[ 'role' ] === 'ROLE_USER';
  470. })), [ACL::ACL_NO_JOB]),
  471. 'ROLE_ADMIN' => array_merge(array_keys(array_filter($tree, static function ($item) {
  472. return isset($item[ 'role' ]) && $item[ 'role' ] === 'ROLE_ADMIN';
  473. })), [ACL::ACL_NO_JOB]),
  474. 'ROLE_SUPER_ADMIN' => array_merge(array_keys(array_filter($tree, static function ($item) {
  475. return isset($item[ 'role' ]) && $item[ 'role' ] === 'ROLE_SUPER_ADMIN';
  476. })), [ACL::ACL_NO_JOB]),
  477. ];
  480. if (isset($roles[ 'ROLE_DEVELOPER' ])) {
  481. unset($roles[ 'ROLE_DEVELOPER' ]);
  482. }
  484. return array_map(static function ($role) {
  485. // Si $role est vide, ajoute une clé 'ACL::ACL_NO_JOB'
  486. if (count($role) === 0) {
  487. return [ACL::ACL_NO_JOB => TRUE];
  488. }
  490. return array_map(static function () {
  491. return TRUE;
  492. }, array_flip($role));
  493. }, $roles);
  494. }
  497. /**
  498. * Retourne une règle d'ACL complète
  499. *
  500. * Retourne une règle existante ou en créé une nouvelle par rapport au contexte
  501. * Force la valeur à FALSE pour la création d'une règle qui concerne le back + un ROLE_USER
  502. *
  503. * @param AclSettingConfig $config config complète contexte + ROLE + JOB
  504. * @param bool $withFlush ajoute un flush dans la fonction pour enregistrer AclSetting
  505. * @param bool $debug
  506. *
  507. * @return AclSetting|float|int|mixed|string|null
  508. */
  509. public function getAclItemForRoleAndJob(AclSettingConfig $config, bool $withFlush = TRUE, bool $debug = FALSE)
  510. {
  511. $acl = $this->em->getRepository(AclSetting::class)->getAclSettingsFor($config, TRUE, TRUE);
  513. // si les clefs n'existent pas, on les set pour chaque role/job
  514. if ($acl === NULL)
  515. {
  516. // Si la règle concerne le back pour un ROLE_USER, on set à FALSE par défaut
  517. if ($config->getEnv() === ACL::BACK_ENV && $config->getRole() === "ROLE_USER") {
  518. $defaultValue = FALSE;
  519. }
  520. else
  521. {
  522. $defaultValues = $this->getDefaultRoleAndJob();
  524. try {
  525. $defaultValue = (bool)$defaultValues[ $config->getRole() ][ $config->getJob() ];
  526. } catch (\Exception $e) {
  527. $this->logger->error($e->getMessage());
  528. $defaultValue = FALSE;
  529. }
  530. }
  532. $acl = $this->setData(
  533. $config,
  534. $defaultValue,
  535. $withFlush,
  536. $debug,
  537. );
  538. }
  539. return $acl;
  540. }
  543. /**
  544. * Vérifie si le user à le droit de voir le produit
  545. *
  546. * Vérifie les catalogues où est présent le produit et recherche les droits d'accès du user sur ces catalogues
  547. * Retourne TRUE au premier qui match
  548. *
  549. * @param User|null $user
  550. * @param Product $product
  551. *
  552. * @return bool
  553. *
  554. * @throws JsonException
  555. */
  556. public function userIsGrantedProduct(?User $user, Product $product): bool
  557. {
  558. foreach ($product->getCatalogues() as $catalogue) {
  559. //if ($this->userIsGrantedCatalogue($user, $catalogue) && $this->jsonCatalogueService->isProductInCatalogue($product->getSku(), $catalogue)) {
  560. //TODO @Manu la vérification pour savoir si le produit est dans le catalogue est lourde, sans doute redondante si on a déjà récupéré le produit via le JSON pour obtenir la variable $product
  561. if ($this->userIsGrantedCatalogue($user, $catalogue)) {
  562. return TRUE;
  563. }
  564. }
  565. return FALSE;
  566. }
  569. /**
  570. * Retourne si l'utilisateur peut voir ou non le catalogue via son slug, prend en compte les Univers si
  571. * l'option est active
  572. *
  573. * @param User|null $user
  574. * @param string $catalogueSlug
  575. * @param bool $debug
  576. *
  577. * @return bool
  578. *
  579. * @throws JsonException
  580. */
  581. public function userIsGrantedCatalogue(?User $user, string $catalogueSlug, bool $debug = FALSE): bool
  582. {
  583. $isGranted = $this->userIsGranted(
  584. $user,
  585. [
  586. 'route' => ACL::ACL_ROUTE_SHOP_CONFIG,
  587. 'params' => ACL::ACL_NO_PARAMS,
  588. 'component' => ACL::ACL_NO_COMPONENT,
  589. 'slug' => ACL::ACL_KEY_SLUG_SHOP_CATALOG . '.' . $catalogueSlug,
  590. 'env' => ACL::FRONT_ENV,
  591. ],
  592. );
  594. // en cas d'univers il faut vérifier si on a le droit de voir quand on est ni dev, ni super admin
  595. $universActive = $this->moduleSettingService->isModuleActive('univers');
  597. if ($universActive && $user !== NULL && !$user->isSuperAdmin() && !$user->isDeveloper()) {
  598. $catalogueHasUnivers = $this->em->getRepository(Univers::class)->findUniversForUserAndCatalogSlug($user, $catalogueSlug);
  600. $isGranted = $catalogueHasUnivers !== [];
  601. }
  603. return $isGranted;
  604. }
  607. /**
  608. * Indique si un utilisateur a les droits d'accès de la page ou du composant avec son action
  609. *
  610. * Retourne TRUE si on est sur un component qui s'affiche coté security (non logué)
  611. * Retourne TRUE si on est ROLE_DEVELOPER
  612. * Retourne FALSE si la règle n'est pas trouvée ou qu'aucune règle n'est TRUE
  613. * Retourne TRUE à la première règle dont la valeur est TRUE (si le user à plusieurs roles par exemple)
  614. *
  615. * @param User|null $user
  616. * @param array $config
  617. * @param bool $debug
  618. *
  619. * @return bool
  620. * @throws JsonException
  621. */
  622. public function userIsGranted(
  623. ?User $user,
  624. array $config,
  625. bool $debug = FALSE
  626. ): bool
  627. {
  628. $default = [
  629. 'route' => NULL,
  630. 'params' => ACL::ACL_NO_PARAMS,
  631. 'component' => ACL::ACL_NO_COMPONENT,
  632. 'slug' => ACL::ACL_NO_SLUG,
  633. 'action' => ACL::READ,
  634. 'env' => ACL::FRONT_ENV,
  635. ];
  637. $config = array_merge($default, $config);
  639. // cette étape normalise la variable params que ça soit une string ou un array.
  640. $config[ 'params' ] = $this->getRouteParamsForAcl($config[ 'route' ], $config[ 'params' ]);
  642. //Si c'est un component qui vient de la clef security alors on autorise
  643. // @todo passer par l'array des routes concernée par la security ?
  644. // security_path dans twig.yaml
  645. if (strpos($config[ 'component' ], 'security.', 0) !== FALSE || in_array($config[ 'route' ], ACL::ACL_SECURITY_ROUTES, TRUE)) {
  646. return TRUE;
  647. }
  649. // Utilisateur non connecté
  650. if (!$user instanceof User) return FALSE;
  652. // Aucune restriction pour le ROLE_DEVELOPER
  653. if ($user->isDeveloper()) return TRUE;
  655. $isGranted = FALSE;
  657. foreach ($user->getRoles() as $role)
  658. {
  659. $aclConfig =
  660. (new AclSettingConfig())
  661. ->setFromArray($config)
  662. ->setRole($role)
  663. ->setJob($user->getJob() ?? ACL::ACL_NO_JOB)
  664. ;
  666. $aclConfig = $this->transformAclVariables($aclConfig);
  667. $aclItem = $this->getAclItemForRoleAndJob($aclConfig, TRUE, $debug);
  668. $isGranted = $aclItem->getValue();
  670. if ($isGranted) break;
  671. }
  673. return $isGranted;
  674. }
  677. /**
  678. * Retourne le slug du premier catalogue où le user a les accès ACL
  679. *
  680. * @param User|null $user
  681. * @param Product $product
  682. *
  683. * @return mixed|null
  684. * @throws JsonException
  685. */
  686. public function getUserFirstGrantedCatalogSlugForProduct(?User $user, Product $product)
  687. {
  688. foreach ($product->getCatalogues() as $catalogue) {
  689. //TODO @manu la vérification pour savoir si le produit est dans le catalogue est lourde, sans doute redondante si on a déjà récupéré le produit via le JSON pour obtenir la variable $product
  690. if ($this->userIsGrantedCatalogue($user, $catalogue) /*&& $this->jsonCatalogueService->isProductInCatalogue($product->getSku(), $catalogue)*/) {
  691. return $catalogue;
  692. }
  693. }
  694. return NULL;
  695. }
  698. /**
  699. * Indique si un user a les droits d'accès au document
  700. *
  701. * Les ACL du document se font lors de la création de l'entité
  702. * Choix des roles => si pas de choix tout le monde voit
  703. * Choix des jobs => si pas de choix tout le monde voit
  704. * Choix des univers => si pas de choix tout le monde voit
  705. *
  706. * @param User|null $user
  707. * @param Parameter $document
  708. *
  709. * @return bool
  710. *
  711. * @throws JsonException
  712. * @throws Exception
  713. */
  714. public function userIsGrantedOnDocument(?User $user, Parameter $document): bool
  715. {
  716. if ($user === NULL) {
  717. return TRUE;
  718. }
  719. $isGranted = TRUE;
  721. //Check sur job
  722. if ($document->getDisplayJob() !== NULL
  723. && !in_array($user->getJob(), $document->getDisplayJob(), TRUE)
  724. ) {
  725. return FALSE;
  726. }
  729. //Check sur le role
  730. if ($document->getDisplayRole() !== NULL && array_diff(
  731. $user->getRoles(),
  732. $document->getDisplayRole(),
  733. ) !== []) {
  734. return FALSE;
  735. }
  738. $universes = $document->getDisplayUniverses();
  739. // Si config par univers on regarde si ça match
  740. if ($universes !== NULL) {
  741. $isGranted = FALSE;
  742. foreach ($user->getUniverses() as $userUnivers) {
  743. if (in_array($userUnivers->getSlug(), $universes, TRUE)) {
  744. $isGranted = TRUE;
  745. break;
  746. }
  747. }
  748. if (!$isGranted) {
  749. return FALSE;
  750. }
  751. }
  754. // Check si la selection des documents est activé sur des parents dont il dépend et qui ont une extension
  755. if ($user->getParents()->getValues() !== []) {
  756. $isGranted = $this->parameterService->isDocumentSelectedByUserParents($user, $document->getId());
  757. }
  759. // sur le user lui-même si une extension existe
  760. $currentUserDocumentSelected = $user->getExtensionBySlug(UserExtension::DOCUMENT_SELECTION);
  761. if ($currentUserDocumentSelected !== NULL) {
  762. $isGranted = $this->parameterService->isDocumentSelectedForUser($user, $document->getId());
  763. }
  765. return $isGranted;
  766. }
  769. /**
  770. * Définit si un element d'un formType est visible en fonction de ses droits configurés dans le yaml
  771. *
  772. * @param AclSettingConfig|null $aclConfig
  773. * @param array $config
  774. * @param bool $debug
  775. *
  776. * @return bool
  777. * @throws JsonException
  778. */
  779. public function currentUserIsGrantedByConfigFormType(?AclSettingConfig $aclConfig, array $config = [], bool $debug = FALSE): bool
  780. {
  781. // Pas de config, tout le monde voit
  782. if ($aclConfig === NULL &&
  783. !array_key_exists('jobs', $config) &&
  784. !array_key_exists('roles', $config) &&
  785. !array_key_exists('univers', $config)) {
  786. return TRUE;
  787. }
  789. $tokenStorage = $this->tokenStorage->getToken();
  790. $currentUser = $tokenStorage ? $tokenStorage->getUser() : NULL;
  792. if (!$currentUser instanceof User) {
  793. return FALSE;
  794. }
  796. // Le super_admin et dev doivent pouvoir tout voir
  797. if ($currentUser->isDeveloper() || $currentUser->isSuperAdmin()) {
  798. return TRUE;
  799. }
  801. if (array_key_exists('jobs', $config) && $config[ 'jobs' ] !== null) {
  802. return $this->canDisplayByJobs($currentUser, $config[ 'jobs' ]);
  803. }
  805. if (array_key_exists('roles', $config) && $config[ 'roles' ] !== null) {
  806. return $this->canDisplayByRoles($currentUser, $config[ 'roles' ]);
  807. }
  809. $universesConfig = isset($config[ 'univers' ]) && count($config[ 'univers' ]) > 0;
  811. // cas 2 $aclConfig + config => on ne garde que les univers pour le moment, $aclConfig prend le dessus.
  812. $isGranted = !$aclConfig || $this->userIsGranted($currentUser, $aclConfig->toArray(), $debug);
  814. if ($isGranted && $universesConfig) {
  815. return $this->canDisplayByUniverses($currentUser, $config[ 'univers' ]);
  816. }
  818. return $isGranted;
  819. }
  821. /**
  822. * Vérifie si on peut afficher un élément en fonction du roles
  823. *
  824. * @param User $user
  825. * @param array $roles
  826. *
  827. * @return bool
  828. */
  829. public function canDisplayByRoles(User $user, array $roles): bool
  830. {
  831. $userRole = $user->getRoles();
  833. if(array_diff($userRole, $roles) === []) {
  834. return TRUE;
  835. }
  837. return FALSE;
  838. }
  840. /**
  841. * Vérifie si on peut afficher un élément en fonction du jobs
  842. *
  843. * @param User $user
  844. * @param array $jobs
  845. *
  846. * @return bool
  847. */
  848. public function canDisplayByJobs(User $user, array $jobs): bool
  849. {
  850. $userJob = $user->getJob();
  852. if(in_array($userJob, $jobs)) {
  853. return TRUE;
  854. }
  856. return FALSE;
  857. }
  859. /**
  860. * Vérifie si on peut afficher un élément en fonction des univers de l'utilisateur
  861. *
  862. * @param User $user
  863. * @param array $universes
  864. *
  865. * @return bool
  866. */
  867. public function canDisplayByUniverses(User $user, array $universes): bool
  868. {
  869. $userUniverses = $user->getUniverses();
  870. foreach ($userUniverses as $univers) {
  871. if (in_array($univers->getSlug(), $universes, TRUE)) {
  872. return TRUE;
  873. }
  874. }
  876. return FALSE;
  877. }
  878. }