src/Twig/Runtime/AclRuntime.php line 223

Open in your IDE?
  1. <?php
  2. /** @noinspection ALL */
  4. namespace App\Twig\Runtime;
  6. use App\Constants\ACL;
  7. use App\Entity\Parameter;
  8. use App\Entity\SliderItem;
  9. use App\Entity\User;
  10. use App\Model\Product;
  11. use App\Services\Back\ParameterService;
  12. use App\Services\Common\AclServiceV2;
  13. use Doctrine\ORM\EntityManagerInterface;
  14. use Psr\Cache\InvalidArgumentException;
  15. use Symfony\Component\HttpFoundation\RequestStack;
  16. use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  17. use Symfony\Component\Security\Core\Security;
  18. use Symfony\Component\Security\Core\User\UserInterface;
  19. use Twig\Extension\RuntimeExtensionInterface;
  20. use Symfony\Component\Security\Core\Role\RoleHierarchyInterface;
  22. /**
  23. * Rassemble toute les fonction disponible dans twig qui touchent aux ACL et à l'affichage des données via les règles acl ou les systèmes paralèlles (roles, jobs sur les entités comme pour les slider ou les documents)
  24. */
  25. class AclRuntime implements RuntimeExtensionInterface
  26. {
  27. private AclServiceV2 $aclService;
  28. private RequestStack $requestStack;
  29. private ParameterService $parameterService;
  31. private Security $security;
  32. private RoleHierarchyInterface $roleHierarchy;
  33. private EntityManagerInterface $em;
  36. public function __construct(
  37. AclServiceV2 $aclService,
  38. RequestStack $requestStack,
  39. ParameterService $parameterService,
  40. Security $security,
  41. RoleHierarchyInterface $roleHierarchy,
  42. EntityManagerInterface $em
  43. )
  44. {
  45. $this->aclService = $aclService;
  46. $this->requestStack = $requestStack;
  47. $this->parameterService = $parameterService;
  48. $this->security = $security;
  49. $this->roleHierarchy = $roleHierarchy;
  50. $this->em = $em;
  51. }
  53. /**
  54. * Permet de savoir si le user a le droit d'accéder à la route
  55. * @param User|null $user
  56. * @param string $route
  57. * @param array $params
  58. * @param string $env
  59. * @return bool
  60. */
  61. public function userIsGrantedRoute(
  62. ?User $user,
  63. string $route,
  64. array $params = [],
  65. string $env = ACL::FRONT_ENV,
  66. bool $debug = FALSE
  67. )
  68. {
  69. $config = [
  70. 'route' => $route,
  71. 'params' => $params,
  72. 'component' => ACL::ACL_NO_COMPONENT,
  73. 'slug' => ACL::ACL_NO_SLUG,
  74. 'action' => ACL::READ,
  75. 'env' => $env,
  76. ];
  78. return $this->aclService->userIsGranted( $user, $config, $debug );
  79. }
  81. /**
  82. * Permet de savoir si un user peut faire une action en fonction de son rôle ou de son job
  83. *
  84. * @param User|null $user
  85. * @param string $slug
  86. * @param string $action
  87. * @param string $env
  88. *
  89. * @return bool
  90. *
  91. * @throws InvalidArgumentException
  92. */
  93. public function userIsGranted(
  94. ?User $user,
  95. string $component,
  96. string $slug = ACL::ACL_NO_SLUG,
  97. string $action = ACL::READ,
  98. string $env = ACL::FRONT_ENV,
  99. string $route = NULL,
  100. string $params = NULL,
  101. bool $debug = FALSE
  102. ): bool
  103. {
  104. $currentRoute = $route ?? $this->requestStack->getCurrentRequest()->get( '_route' );
  105. $currentParams = $params ?? $this->requestStack->getCurrentRequest()->get( '_route_params' );
  107. if ($currentRoute === NULL){
  108. return $this->checkWhenRouteIsNull();
  109. }
  111. $config = [
  112. 'route' => $currentRoute,
  113. 'params' => $this->aclService->getRouteParamsForAcl($currentRoute, $currentParams),
  114. 'component' => $component,
  115. 'slug' => $slug,
  116. 'action' => $action,
  117. 'env' => $env,
  118. ];
  120. return $this->aclService->userIsGranted( $user, $config, $debug );
  121. }
  123. /**
  124. * Logique pour éviter des erreurs 500 si jamais une route est évaluée à NULL
  125. * Si on est dans le cas d'une exception on autorise la visualition
  126. * @return true
  127. * @throws \Exception
  128. */
  129. private function checkWhenRouteIsNull()
  130. {
  131. $request = $this->requestStack->getCurrentRequest();
  132. $exeption = $request->attributes->get('exception');
  134. if ($exeption !== null) {
  135. return TRUE;
  136. }
  138. throw new \Exception('Une erreur est survenue, la route ne peut pas être null et ne pas être une exception');
  139. }
  141. /**
  142. * Permet de savoir si le current user à le droit de voir le catalogue par son slug
  143. * @param $catalogue
  144. * @return bool
  145. * @throws InvalidArgumentException
  146. */
  147. public function userIsGrantedCatalogue($catalogue)
  148. {
  149. $currentUser = $this->security->getUser();
  150. return $this->aclService->userIsGrantedCatalogue($currentUser, $catalogue);
  151. }
  153. /**
  154. * Permet de savoir si le current user à le droit de voir le produit
  155. * @param Product $product
  156. *
  157. * @return bool
  158. * @throws \JsonException
  159. */
  160. public function userIsGrantedProduct(Product $product)
  161. {
  162. $currentUser = $this->security->getUser();
  163. return $this->aclService->userIsGrantedProduct($currentUser, $product);
  165. }
  167. /**
  168. * Retourne le slug du premier catalogue qui contient le produit et qui est accèssible au user courant
  169. * @param Product $product
  170. *
  171. * @return mixed|null
  172. * @throws \JsonException
  173. */
  174. public function getUserFirstGrantedCatalogSlugForProduct(Product $product)
  175. {
  176. $currentUser = $this->security->getUser();
  177. return $this->aclService->getUserFirstGrantedCatalogSlugForProduct($currentUser, $product);
  178. }
  181. /**
  182. * Défini si l'utilisateur à le droit de voir le document
  183. *
  184. * @param User|null $user
  185. * @param Parameter $document
  186. *
  187. * @return bool
  188. *
  189. * @throws \JsonException
  190. */
  191. public function canDisplayDocument( ?User $user, Parameter $document ): bool
  192. {
  193. return $this->aclService->userIsGrantedOnDocument( $user, $document );
  194. }
  197. /**
  198. * Lors des documents personnalisé, permet de savoit si le user peut voir le document
  199. *
  200. * @param User|null $user
  201. * @param $id
  202. *
  203. * @return bool
  204. *
  205. * @throws \JsonException
  206. */
  207. public function isDocumentSelectedForUser( ?User $user, $id ): bool
  208. {
  209. return $this->parameterService->isDocumentSelectedForUser( $user, $id );
  210. }
  213. /**
  214. * Permet de savoir si on component est visible par le user courant
  215. *
  216. * Ne doit être utilisé que pour l'affichage twig des components en front
  217. *
  218. * @param array|null $componentOptions
  219. * @param bool $debug
  220. * @return bool
  221. * @throws InvalidArgumentException
  222. */
  223. public function canDisplayComponentByAcl(?array $componentOptions, bool $debug = FALSE)
  224. {
  226. if ($componentOptions === NULL || $componentOptions === []){
  227. return TRUE;
  228. }
  229. $item = $componentOptions['item'] ?? $componentOptions;
  231. // Le component est actif sur la page ?
  232. $canDisplay = (bool)$item[ 'enabled' ] ?? TRUE;
  233. if (!$canDisplay) {
  234. return FALSE;
  235. }
  237. // on regarde s'il peut s'afficher sur la page via la clef display
  238. $canDisplay = $this->canDisplayOnPageByConfig($item['display'], $debug);
  239. if (!$canDisplay) {
  240. return FALSE;
  241. }
  243. /** @var User $currentUser */
  244. $currentUser = $this->security->getUser();
  246. // on recherche l'acl si on peut récupérer son slug data-component-acl
  247. if ( isset($item['data']['data-component-acl'])){
  248. $canDisplay = $this->userIsGranted($currentUser, $item['data']['data-component-acl'] ?? ACL::ACL_NO_COMPONENT);
  249. }
  250. if (!$canDisplay) {
  251. return FALSE;
  252. }
  254. // on regarde s'il y a des univers... on verifie le currentUser car le component peut être utilisé en partie security
  255. if ($currentUser !== NULL && isset($item['univers'])){
  256. if ( $canDisplay && !$currentUser->isDeveloper() && !$currentUser->isSuperAdmin() && isset($item['univers'])){
  257. $canDisplay = $this->aclService->canDisplayByUniverses($currentUser, $item['univers']);
  258. }
  259. }
  261. return $canDisplay;
  263. }
  265. /**
  266. * Défini si un component s'affiche via la clef display
  267. *
  268. * Elle contient 2 enfants:
  269. * enabled_on : array (tableau de route)|null
  270. * disabled_on : array (tableau de route)|null
  271. * Si disabled_on est a autre chose que null, alors c'est lui qui prend l'ascendant
  272. * Afficher partout => enabled_on: null + disabled_on: [] ou null
  273. *
  274. * @param array $display
  275. *
  276. * @return bool
  277. */
  278. private function canDisplayOnPageByConfig(array $display, bool $debug = FALSE)
  279. {
  281. $currentRoute = $this->requestStack->getCurrentRequest()->get( '_route' );
  283. if ($currentRoute === NULL){
  284. return $this->checkWhenRouteIsNull();
  285. }
  287. $canDisplay = TRUE; // par défaut on affiche
  289. // On prend la config du disabled_on si elle n'est pas nulle
  290. $displayByDisabled = FALSE;
  291. if (isset($display['disabled_on']) && $display['disabled_on'] !== NULL){
  292. $displayByDisabled = TRUE;
  293. }
  295. // On prend la config enbaled_on
  296. if (isset($display['enabled_on']) && !$displayByDisabled){
  298. $arrayRoute = $display['enabled_on'];
  300. if(gettype($display['enabled_on']) === "string") {
  301. $arrayRoute = json_decode($display['enabled_on'], true);
  302. }
  304. switch (TRUE){
  305. // tableau vide, ce n'est pas visible
  306. case $arrayRoute === []:
  307. $canDisplay = FALSE;
  308. break;
  309. // NULL ou valeur qui n'est pas un tableau, on considère que c'est visible
  310. // ainsi si enabled_on et disabled_on sont NULL, on affiche
  311. case $arrayRoute === NULL:
  312. case !is_array($arrayRoute):
  313. $canDisplay = TRUE;
  314. break;
  315. // on regarde si la route actuelle est dans le tableau pour l'afficher
  316. default:
  317. $canDisplay = in_array( $currentRoute, $arrayRoute, TRUE );
  318. break;
  319. }
  320. }
  322. // on prend la config disabled_on
  323. if (isset($display['disabled_on']) && $displayByDisabled){
  325. $arrayRoute = $display['disabled_on'];
  327. if(gettype($display['disabled_on']) === "string") {
  328. $arrayRoute = json_decode($display['disabled_on'], true);
  329. }
  331. switch (TRUE){
  332. // tableau vide, c'est visible partout
  333. case $arrayRoute === []:
  334. $canDisplay = TRUE;
  335. break;
  336. // NULL ou valeur qui n'est pas un tableau, on refuse l'affichage
  337. // Normalement on ne tombe pas dans cette configuration puisque $displayByDisabled est FALSE
  338. case $arrayRoute === NULL:
  339. case !is_array($arrayRoute):
  340. $canDisplay = FALSE;
  341. break;
  342. // on regarde si la route actuelle est dans le tableau pour refuser l'affichage
  343. default:
  344. $canDisplay = !in_array( $currentRoute, $arrayRoute, TRUE );
  345. break;
  346. }
  347. }
  349. return $canDisplay;
  350. }
  353. /**
  354. * Permet de savoir si le user peut voir le slider
  355. *
  356. * Les acl du slider sont intégré à l'édition de l'entité
  357. *
  358. * @param User $user
  359. * @param SliderItem $item
  360. *
  361. * @return bool
  362. */
  363. public function canDisplaySliderItem(?User $user, SliderItem $item): bool
  364. {
  365. if(!$user) return FALSE;
  367. $jobs = $item->getDisplayJob();
  368. $universes = $item->getDisplayUniverses();
  371. // Le superadmin et dev doivent pouvoir tout voir...
  372. if ( $user->isDeveloper() || $user->isSuperAdmin() ) {
  373. return TRUE;
  374. }
  376. // Par défaut, tout s'affiche
  377. $canDisplay = TRUE;
  379. // SI config par job on regarde si ça match
  380. if ( $jobs !== NULL && !in_array( $user->getJob(), $jobs, TRUE ) ) {
  381. $canDisplay = FALSE;
  382. }
  384. // Si config par univers on regarde si ça match
  385. if ( $universes !== NULL ) {
  386. foreach ( $user->getUniverses() as $userUnivers ) {
  387. if ( in_array( $userUnivers->getSlug(), $universes, TRUE ) ) {
  388. $canDisplay = TRUE;
  389. break;
  390. }
  391. $canDisplay = FALSE;
  392. }
  393. }
  395. return $canDisplay;
  397. }
  399. /**
  400. * Normalise la transformation de l'array qui contient les params d'une route pour la transformer en string
  401. * @param array $params
  402. *
  403. * @return false|string
  404. * @throws \JsonException
  405. */
  406. public function formatParamsToString(array $params)
  407. {
  408. return $this->aclService->formatArrayParamsToString($params);
  409. }
  412. /**
  413. * Retourne un tableau avec la liste de roles et les jobs relatif à ces roles
  414. *
  415. * @return array[]
  416. */
  417. public function getDefaultRolesAndJobs()
  418. {
  419. return $this->aclService->getDefaultRoleAndJob();
  420. }
  423. /**
  424. * @return UserInterface|null
  425. */
  426. public function getOriginalUser(): ?UserInterface
  427. {
  428. $token = $this->security->getToken();
  430. if ($token instanceof SwitchUserToken)
  431. {
  432. $user = $token->getOriginalToken()->getUser();
  433. $user = $this->em->getRepository(User::class)->findOneBy(['email' => $user->getEmail()]);
  434. return $user;
  435. }
  437. return $this->security->getUser();
  438. }
  441. /**
  442. * @param User $user
  443. * @param string $role
  444. *
  445. * @return bool
  446. */
  447. public function hasRole(User $user, string $role): bool
  448. {
  449. $reachableRoles = $this->roleHierarchy->getReachableRoleNames($user->getRoles());
  450. return in_array($role, $reachableRoles);
  451. }
  453. }