src/Twig/Runtime/AclRuntime.php line 117

Open in your IDE?
  1. <?php
  2. /** @noinspection ALL */
  4. namespace App\Twig\Runtime;
  6. use App\Constants\ACL;
  7. use App\Entity\Parameter;
  8. use App\Entity\SliderItem;
  9. use App\Entity\User;
  10. use App\Model\Product;
  11. use App\Services\Back\ParameterService;
  12. use App\Services\Common\AclServiceV2;
  13. use Doctrine\ORM\EntityManagerInterface;
  14. use Psr\Cache\InvalidArgumentException;
  15. use Symfony\Component\HttpFoundation\RequestStack;
  16. use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  17. use Symfony\Component\Security\Core\Security;
  18. use Symfony\Component\Security\Core\User\UserInterface;
  19. use Twig\Extension\RuntimeExtensionInterface;
  20. use Symfony\Component\Security\Core\Role\RoleHierarchyInterface;
  22. /**
  23. * Rassemble toute les fonction disponible dans twig qui touchent aux ACL et à l'affichage des données via les règles acl ou les systèmes paralèlles (roles, jobs sur les entités comme pour les slider ou les documents)
  24. */
  25. class AclRuntime implements RuntimeExtensionInterface
  26. {
  27. private AclServiceV2 $aclService;
  28. private RequestStack $requestStack;
  29. private ParameterService $parameterService;
  30. private Security $security;
  31. private RoleHierarchyInterface $roleHierarchy;
  32. private EntityManagerInterface $em;
  33. private array $userIsGrantedCache = [];
  34. private array $componentVisibilityCache = [];
  35. private array $displayConfigCache = [];
  36. private ?string $currentRouteCache = null;
  37. private mixed $currentRouteParamsCache = null;
  38. private bool $currentRequestResolved = false;
  39. private User|UserInterface|null $currentUserCache = null;
  40. private bool $currentUserResolved = false;
  42. public function __construct(
  43. AclServiceV2 $aclService,
  44. RequestStack $requestStack,
  45. ParameterService $parameterService,
  46. Security $security,
  47. RoleHierarchyInterface $roleHierarchy,
  48. EntityManagerInterface $em
  49. ) {
  50. $this->aclService = $aclService;
  51. $this->requestStack = $requestStack;
  52. $this->parameterService = $parameterService;
  53. $this->security = $security;
  54. $this->roleHierarchy = $roleHierarchy;
  55. $this->em = $em;
  56. }
  58. /**
  59. * Permet de savoir si le user a le droit d'accéder à la route
  60. * @param User|null $user
  61. * @param string $route
  62. * @param array $params
  63. * @param string $env
  64. * @return bool
  65. */
  66. public function userIsGrantedRoute(
  67. ?User $user,
  68. string $route,
  69. array $params = [],
  70. string $env = ACL::FRONT_ENV,
  71. bool $debug = false
  72. ) {
  73. $config = [
  74. 'route' => $route,
  75. 'params' => $params,
  76. 'component' => ACL::ACL_NO_COMPONENT,
  77. 'slug' => ACL::ACL_NO_SLUG,
  78. 'action' => ACL::READ,
  79. 'env' => $env,
  80. ];
  82. return $this->aclService->userIsGranted($user, $config, $debug);
  83. }
  85. /**
  86. * Permet de savoir si un user peut faire une action en fonction de son rôle ou de son job
  87. *
  88. * @param User|null $user
  89. * @param string $slug
  90. * @param string $action
  91. * @param string $env
  92. *
  93. * @return bool
  94. *
  95. * @throws InvalidArgumentException
  96. */
  97. public function userIsGranted(
  98. ?User $user,
  99. string $component,
  100. string $slug = ACL::ACL_NO_SLUG,
  101. string $action = ACL::READ,
  102. string $env = ACL::FRONT_ENV,
  103. string $route = null,
  104. string $params = null,
  105. bool $debug = false
  106. ): bool {
  107. [$resolvedRoute, $resolvedParams] = $this->getCurrentRouteContext();
  108. $currentRoute = $route ?? $resolvedRoute;
  109. $currentParams = $params ?? $resolvedParams;
  111. if ($currentRoute === null) {
  112. return $this->checkWhenRouteIsNull();
  113. }
  115. $config = [
  116. 'route' => $currentRoute,
  117. 'params' => $this->aclService->getRouteParamsForAcl($currentRoute, $currentParams),
  118. 'component' => $component,
  119. 'slug' => $slug,
  120. 'action' => $action,
  121. 'env' => $env,
  122. ];
  124. $cacheKey = implode('|', [
  125. $user instanceof User ? $user->getId() : 'anonymous',
  126. $currentRoute,
  127. $config['params'],
  128. $component,
  129. $slug,
  130. $action,
  131. $env,
  132. ]);
  134. if (array_key_exists($cacheKey, $this->userIsGrantedCache)) {
  135. return $this->userIsGrantedCache[$cacheKey];
  136. }
  138. return $this->userIsGrantedCache[$cacheKey] = $this->aclService->userIsGranted($user, $config, $debug);
  139. }
  141. /**
  142. * Logique pour éviter des erreurs 500 si jamais une route est évaluée à NULL
  143. * Si on est dans le cas d'une exception on autorise la visualition
  144. * @return true
  145. * @throws \Exception
  146. */
  147. private function checkWhenRouteIsNull()
  148. {
  149. $request = $this->requestStack->getCurrentRequest();
  150. $exeption = $request->attributes->get('exception');
  152. if ($exeption !== null) {
  153. return true;
  154. }
  156. throw new \Exception('Une erreur est survenue, la route ne peut pas être null et ne pas être une exception');
  157. }
  159. /**
  160. * Permet de savoir si le current user à le droit de voir le catalogue par son slug
  161. * @param $catalogue
  162. * @return bool
  163. * @throws InvalidArgumentException
  164. */
  165. public function userIsGrantedCatalogue($catalogue)
  166. {
  167. $currentUser = $this->security->getUser();
  168. return $this->aclService->userIsGrantedCatalogue($currentUser, $catalogue);
  169. }
  171. /**
  172. * Permet de savoir si le current user à le droit de voir le produit
  173. * @param Product $product
  174. *
  175. * @return bool
  176. * @throws \JsonException
  177. */
  178. public function userIsGrantedProduct(Product $product)
  179. {
  180. $currentUser = $this->security->getUser();
  181. return $this->aclService->userIsGrantedProduct($currentUser, $product);
  182. }
  184. /**
  185. * Retourne le slug du premier catalogue qui contient le produit et qui est accèssible au user courant
  186. * @param Product $product
  187. *
  188. * @return mixed|null
  189. * @throws \JsonException
  190. */
  191. public function getUserFirstGrantedCatalogSlugForProduct(Product $product)
  192. {
  193. $currentUser = $this->security->getUser();
  194. return $this->aclService->getUserFirstGrantedCatalogSlugForProduct($currentUser, $product);
  195. }
  197. /**
  198. * Défini si l'utilisateur à le droit de voir le document
  199. *
  200. * @param User|null $user
  201. * @param Parameter $document
  202. *
  203. * @return bool
  204. *
  205. * @throws \JsonException
  206. */
  207. public function canDisplayDocument(?User $user, Parameter $document): bool
  208. {
  209. return $this->aclService->userIsGrantedOnDocument($user, $document);
  210. }
  212. public function filterVisibleDocuments(
  213. ?User $user,
  214. array $documents,
  215. bool $onlyPublicOnSecurityRoute = false
  216. ): array {
  217. [$currentRoute] = $this->getCurrentRouteContext();
  218. $isSecurityRoute = $currentRoute !== null && in_array($currentRoute, ACL::ACL_SECURITY_ROUTES, true);
  220. return array_values(
  221. array_filter(
  222. $documents,
  223. function (Parameter $document) use ($user, $onlyPublicOnSecurityRoute, $isSecurityRoute) {
  224. if (!$this->canDisplayDocument($user, $document)) {
  225. return false;
  226. }
  228. if ($onlyPublicOnSecurityRoute && $isSecurityRoute && !$document->isPublic()) {
  229. return false;
  230. }
  232. return true;
  233. }
  234. )
  235. );
  236. }
  238. /**
  239. * Lors des documents personnalisé, permet de savoit si le user peut voir le document
  240. *
  241. * @param User|null $user
  242. * @param $id
  243. *
  244. * @return bool
  245. *
  246. * @throws \JsonException
  247. */
  248. public function isDocumentSelectedForUser(?User $user, $id): bool
  249. {
  250. return $this->parameterService->isDocumentSelectedForUser($user, $id);
  251. }
  253. /**
  254. * Permet de savoir si on component est visible par le user courant
  255. *
  256. * Ne doit être utilisé que pour l'affichage twig des components en front
  257. *
  258. * @param array|null $componentOptions
  259. * @param bool $debug
  260. * @return bool
  261. * @throws InvalidArgumentException
  262. */
  263. public function canDisplayComponentByAcl(?array $componentOptions, bool $debug = false)
  264. {
  265. if ($componentOptions === null || $componentOptions === []) {
  266. return true;
  267. }
  269. [$currentRoute] = $this->getCurrentRouteContext();
  270. $currentUser = $this->getCurrentUser();
  272. $item = $componentOptions['item'] ?? $componentOptions;
  273. $display = $item['display'] ?? [];
  274. $univers = $item['univers'] ?? [];
  275. $componentAcl = $item['data']['data-component-acl'] ?? ACL::ACL_NO_COMPONENT;
  276. $cacheKey = implode('|', [
  277. $currentRoute ?? 'no-route',
  278. $currentUser instanceof User ? $currentUser->getId() : 'anonymous',
  279. $componentAcl,
  280. (int)($item['enabled'] ?? true),
  281. md5(json_encode($display)),
  282. md5(json_encode($univers)),
  283. ]);
  285. if (array_key_exists($cacheKey, $this->componentVisibilityCache)) {
  286. return $this->componentVisibilityCache[$cacheKey];
  287. }
  289. // Le component est actif sur la page ?
  290. $canDisplay = (bool)$item['enabled'] ?? true;
  291. if (!$canDisplay) {
  292. return $this->componentVisibilityCache[$cacheKey] = false;
  293. }
  295. // on regarde s'il peut s'afficher sur la page via la clef display
  296. $canDisplay = $this->canDisplayOnPageByConfig($display, $debug);
  297. if (!$canDisplay) {
  298. return $this->componentVisibilityCache[$cacheKey] = false;
  299. }
  301. // on recherche l'acl si on peut récupérer son slug data-component-acl
  302. if (isset($item['data']['data-component-acl'])) {
  303. $canDisplay = $this->userIsGranted($currentUser instanceof User ? $currentUser : null, $componentAcl);
  304. }
  305. if (!$canDisplay) {
  306. return $this->componentVisibilityCache[$cacheKey] = false;
  307. }
  309. // on regarde s'il y a des univers... on verifie le currentUser car le component peut être utilisé en partie security
  310. if ($currentUser instanceof User && $univers !== []) {
  311. if ($canDisplay && !$currentUser->isDeveloper() && !$currentUser->isSuperAdmin()) {
  312. $canDisplay = $this->aclService->canDisplayByUniverses($currentUser, $univers);
  313. }
  314. }
  316. return $this->componentVisibilityCache[$cacheKey] = $canDisplay;
  317. }
  319. /**
  320. * Défini si un component s'affiche via la clef display
  321. *
  322. * Elle contient 2 enfants:
  323. * enabled_on : array (tableau de route)|null
  324. * disabled_on : array (tableau de route)|null
  325. * Si disabled_on est a autre chose que null, alors c'est lui qui prend l'ascendant
  326. * Afficher partout => enabled_on: null + disabled_on: [] ou null
  327. *
  328. * @param array $display
  329. *
  330. * @return bool
  331. */
  332. private function canDisplayOnPageByConfig(array $display, bool $debug = false)
  333. {
  334. [$currentRoute] = $this->getCurrentRouteContext();
  336. if ($currentRoute === null) {
  337. return $this->checkWhenRouteIsNull();
  338. }
  340. $cacheKey = md5(json_encode([$currentRoute, $display]));
  341. if (array_key_exists($cacheKey, $this->displayConfigCache)) {
  342. return $this->displayConfigCache[$cacheKey];
  343. }
  345. $canDisplay = true; // par défaut on affiche
  347. // On prend la config du disabled_on si elle n'est pas nulle
  348. $displayByDisabled = false;
  349. if (isset($display['disabled_on']) && $display['disabled_on'] !== null) {
  350. $displayByDisabled = true;
  351. }
  353. // On prend la config enbaled_on
  354. if (isset($display['enabled_on']) && !$displayByDisabled) {
  355. $arrayRoute = $display['enabled_on'];
  357. if (gettype($display['enabled_on']) === "string") {
  358. $arrayRoute = json_decode($display['enabled_on'], true);
  359. }
  361. switch (true) {
  362. // tableau vide, ce n'est pas visible
  363. case $arrayRoute === []:
  364. $canDisplay = false;
  365. break;
  366. // NULL ou valeur qui n'est pas un tableau, on considère que c'est visible
  367. // ainsi si enabled_on et disabled_on sont NULL, on affiche
  368. case $arrayRoute === null:
  369. case !is_array($arrayRoute):
  370. $canDisplay = true;
  371. break;
  372. // on regarde si la route actuelle est dans le tableau pour l'afficher
  373. default:
  374. $canDisplay = in_array($currentRoute, $arrayRoute, true);
  375. break;
  376. }
  377. }
  379. // on prend la config disabled_on
  380. if (isset($display['disabled_on']) && $displayByDisabled) {
  381. $arrayRoute = $display['disabled_on'];
  383. if (gettype($display['disabled_on']) === "string") {
  384. $arrayRoute = json_decode($display['disabled_on'], true);
  385. }
  387. switch (true) {
  388. // tableau vide, c'est visible partout
  389. case $arrayRoute === []:
  390. $canDisplay = true;
  391. break;
  392. // NULL ou valeur qui n'est pas un tableau, on refuse l'affichage
  393. // Normalement on ne tombe pas dans cette configuration puisque $displayByDisabled est FALSE
  394. case $arrayRoute === null:
  395. case !is_array($arrayRoute):
  396. $canDisplay = false;
  397. break;
  398. // on regarde si la route actuelle est dans le tableau pour refuser l'affichage
  399. default:
  400. $canDisplay = !in_array($currentRoute, $arrayRoute, true);
  401. break;
  402. }
  403. }
  405. return $this->displayConfigCache[$cacheKey] = $canDisplay;
  406. }
  408. private function getCurrentRouteContext(): array
  409. {
  410. if ($this->currentRequestResolved) {
  411. return [$this->currentRouteCache, $this->currentRouteParamsCache];
  412. }
  414. $request = $this->requestStack->getCurrentRequest();
  415. $this->currentRouteCache = $request?->get('_route');
  416. $this->currentRouteParamsCache = $request?->get('_route_params');
  417. $this->currentRequestResolved = true;
  419. return [$this->currentRouteCache, $this->currentRouteParamsCache];
  420. }
  422. private function getCurrentUser(): User|UserInterface|null
  423. {
  424. if ($this->currentUserResolved) {
  425. return $this->currentUserCache;
  426. }
  428. $this->currentUserCache = $this->security->getUser();
  429. $this->currentUserResolved = true;
  431. return $this->currentUserCache;
  432. }
  434. /**
  435. * Permet de savoir si le user peut voir le slider
  436. *
  437. * Les acl du slider sont intégré à l'édition de l'entité
  438. *
  439. * @param User $user
  440. * @param SliderItem $item
  441. *
  442. * @return bool
  443. */
  444. public function canDisplaySliderItem(?User $user, SliderItem $item): bool
  445. {
  446. if (!$user) {
  447. return false;
  448. }
  450. $jobs = $item->getDisplayJob();
  451. $universes = $item->getDisplayUniverses();
  453. // Le superadmin et dev doivent pouvoir tout voir...
  454. if ($user->isDeveloper() || $user->isSuperAdmin()) {
  455. return true;
  456. }
  458. // Par défaut, tout s'affiche
  459. $canDisplay = true;
  461. // SI config par job on regarde si ça match
  462. if ($jobs !== null && !in_array($user->getJob(), $jobs, true)) {
  463. $canDisplay = false;
  464. }
  466. // Si config par univers on regarde si ça match
  467. if ($universes !== null) {
  468. foreach ($user->getUniverses() as $userUnivers) {
  469. if (in_array($userUnivers->getSlug(), $universes, true)) {
  470. $canDisplay = true;
  471. break;
  472. }
  473. $canDisplay = false;
  474. }
  475. }
  477. return $canDisplay;
  478. }
  480. /**
  481. * Normalise la transformation de l'array qui contient les params d'une route pour la transformer en string
  482. * @param array $params
  483. *
  484. * @return false|string
  485. * @throws \JsonException
  486. */
  487. public function formatParamsToString(array $params)
  488. {
  489. return $this->aclService->formatArrayParamsToString($params);
  490. }
  492. /**
  493. * Retourne un tableau avec la liste de roles et les jobs relatif à ces roles
  494. *
  495. * @return array[]
  496. */
  497. public function getDefaultRolesAndJobs()
  498. {
  499. return $this->aclService->getDefaultRoleAndJob();
  500. }
  502. /**
  503. * @return UserInterface|null
  504. */
  505. public function getOriginalUser(): ?UserInterface
  506. {
  507. $token = $this->security->getToken();
  509. if ($token instanceof SwitchUserToken) {
  510. $user = $token->getOriginalToken()->getUser();
  511. $user = $this->em->getRepository(User::class)->findOneBy(['email' => $user->getEmail()]);
  512. return $user;
  513. }
  515. return $this->security->getUser();
  516. }
  518. /**
  519. * @param User $user
  520. * @param string $role
  521. *
  522. * @return bool
  523. */
  524. public function hasRole(User $user, string $role): bool
  525. {
  526. $reachableRoles = $this->roleHierarchy->getReachableRoleNames($user->getRoles());
  527. return in_array($role, $reachableRoles);
  528. }
  529. }