src/Twig/Runtime/AclRuntime.php line 101

Open in your IDE?
  1. <?php
  2. /** @noinspection ALL */
  4. namespace App\Twig\Runtime;
  6. use App\Constants\ACL;
  7. use App\Entity\Parameter;
  8. use App\Entity\SliderItem;
  9. use App\Entity\User;
  10. use App\Model\Product;
  11. use App\Services\Back\ParameterService;
  12. use App\Services\Common\AclServiceV2;
  13. use Doctrine\ORM\EntityManagerInterface;
  14. use Psr\Cache\InvalidArgumentException;
  15. use Symfony\Component\HttpFoundation\RequestStack;
  16. use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  17. use Symfony\Component\Security\Core\Security;
  18. use Symfony\Component\Security\Core\User\UserInterface;
  19. use Twig\Extension\RuntimeExtensionInterface;
  20. use Symfony\Component\Security\Core\Role\RoleHierarchyInterface;
  22. /**
  23. * Rassemble toute les fonction disponible dans twig qui touchent aux ACL et à l'affichage des données via les règles acl ou les systèmes paralèlles (roles, jobs sur les entités comme pour les slider ou les documents)
  24. */
  25. class AclRuntime implements RuntimeExtensionInterface
  26. {
  27. private AclServiceV2 $aclService;
  28. private RequestStack $requestStack;
  29. private ParameterService $parameterService;
  30. private Security $security;
  31. private RoleHierarchyInterface $roleHierarchy;
  32. private EntityManagerInterface $em;
  33. private array $userIsGrantedCache = [];
  34. private array $componentVisibilityCache = [];
  35. private array $displayConfigCache = [];
  36. private ?string $currentRouteCache = null;
  37. private mixed $currentRouteParamsCache = null;
  38. private bool $currentRequestResolved = false;
  39. private User|UserInterface|null $currentUserCache = null;
  40. private bool $currentUserResolved = false;
  42. public function __construct(AclServiceV2 $aclService, RequestStack $requestStack, ParameterService $parameterService, Security $security, RoleHierarchyInterface $roleHierarchy, EntityManagerInterface $em)
  43. {
  44. $this->aclService = $aclService;
  45. $this->requestStack = $requestStack;
  46. $this->parameterService = $parameterService;
  47. $this->security = $security;
  48. $this->roleHierarchy = $roleHierarchy;
  49. $this->em = $em;
  50. }
  52. /**
  53. * Permet de savoir si le user a le droit d'accéder à la route
  54. * @param User|null $user
  55. * @param string $route
  56. * @param array $params
  57. * @param string $env
  58. * @return bool
  59. */
  60. public function userIsGrantedRoute(?User $user, string $route, array $params = [], string $env = ACL::FRONT_ENV, bool $debug = FALSE)
  61. {
  62. $config = [
  63. 'route' => $route,
  64. 'params' => $params,
  65. 'component' => ACL::ACL_NO_COMPONENT,
  66. 'slug' => ACL::ACL_NO_SLUG,
  67. 'action' => ACL::READ,
  68. 'env' => $env,
  69. ];
  71. return $this->aclService->userIsGranted($user, $config, $debug);
  72. }
  74. /**
  75. * Permet de savoir si un user peut faire une action en fonction de son rôle ou de son job
  76. *
  77. * @param User|null $user
  78. * @param string $slug
  79. * @param string $action
  80. * @param string $env
  81. *
  82. * @return bool
  83. *
  84. * @throws InvalidArgumentException
  85. */
  86. public function userIsGranted(?User $user, string $component, string $slug = ACL::ACL_NO_SLUG, string $action = ACL::READ, string $env = ACL::FRONT_ENV, string $route = NULL, string $params = NULL, bool $debug = FALSE): bool
  87. {
  88. [$resolvedRoute, $resolvedParams] = $this->getCurrentRouteContext();
  89. $currentRoute = $route ?? $resolvedRoute;
  90. $currentParams = $params ?? $resolvedParams;
  92. if($currentRoute === NULL)
  93. {
  94. return $this->checkWhenRouteIsNull();
  95. }
  97. $config = [
  98. 'route' => $currentRoute,
  99. 'params' => $this->aclService->getRouteParamsForAcl($currentRoute, $currentParams),
  100. 'component' => $component,
  101. 'slug' => $slug,
  102. 'action' => $action,
  103. 'env' => $env,
  104. ];
  106. $cacheKey = implode('|', [
  107. $user instanceof User ? $user->getId() : 'anonymous',
  108. $currentRoute,
  109. $config['params'],
  110. $component,
  111. $slug,
  112. $action,
  113. $env,
  114. ]);
  116. if(array_key_exists($cacheKey, $this->userIsGrantedCache))
  117. {
  118. return $this->userIsGrantedCache[$cacheKey];
  119. }
  121. return $this->userIsGrantedCache[$cacheKey] = $this->aclService->userIsGranted($user, $config, $debug);
  122. }
  124. /**
  125. * Logique pour éviter des erreurs 500 si jamais une route est évaluée à NULL
  126. * Si on est dans le cas d'une exception on autorise la visualition
  127. * @return true
  128. * @throws \Exception
  129. */
  130. private function checkWhenRouteIsNull()
  131. {
  132. $request = $this->requestStack->getCurrentRequest();
  133. $exeption = $request->attributes->get('exception');
  135. if($exeption !== null)
  136. {
  137. return TRUE;
  138. }
  140. throw new \Exception('Une erreur est survenue, la route ne peut pas être null et ne pas être une exception');
  141. }
  143. /**
  144. * Permet de savoir si le current user à le droit de voir le catalogue par son slug
  145. * @param $catalogue
  146. * @return bool
  147. * @throws InvalidArgumentException
  148. */
  149. public function userIsGrantedCatalogue($catalogue)
  150. {
  151. $currentUser = $this->security->getUser();
  152. return $this->aclService->userIsGrantedCatalogue($currentUser, $catalogue);
  153. }
  155. /**
  156. * Permet de savoir si le current user à le droit de voir le produit
  157. * @param Product $product
  158. *
  159. * @return bool
  160. * @throws \JsonException
  161. */
  162. public function userIsGrantedProduct(Product $product)
  163. {
  164. $currentUser = $this->security->getUser();
  165. return $this->aclService->userIsGrantedProduct($currentUser, $product);
  166. }
  168. /**
  169. * Retourne le slug du premier catalogue qui contient le produit et qui est accèssible au user courant
  170. * @param Product $product
  171. *
  172. * @return mixed|null
  173. * @throws \JsonException
  174. */
  175. public function getUserFirstGrantedCatalogSlugForProduct(Product $product)
  176. {
  177. $currentUser = $this->security->getUser();
  178. return $this->aclService->getUserFirstGrantedCatalogSlugForProduct($currentUser, $product);
  179. }
  181. /**
  182. * Défini si l'utilisateur à le droit de voir le document
  183. *
  184. * @param User|null $user
  185. * @param Parameter $document
  186. *
  187. * @return bool
  188. *
  189. * @throws \JsonException
  190. */
  191. public function canDisplayDocument(?User $user, Parameter $document): bool
  192. {
  193. return $this->aclService->userIsGrantedOnDocument($user, $document);
  194. }
  196. public function filterVisibleDocuments(?User $user, array $documents, bool $onlyPublicOnSecurityRoute = false): array
  197. {
  198. [$currentRoute] = $this->getCurrentRouteContext();
  199. $isSecurityRoute = $currentRoute !== null && in_array($currentRoute, ACL::ACL_SECURITY_ROUTES, true);
  201. return array_values(array_filter($documents, function(Parameter $document) use ($user, $onlyPublicOnSecurityRoute, $isSecurityRoute)
  202. {
  203. if(!$this->canDisplayDocument($user, $document))
  204. {
  205. return false;
  206. }
  208. if($onlyPublicOnSecurityRoute && $isSecurityRoute && !$document->isPublic())
  209. {
  210. return false;
  211. }
  213. return true;
  214. }));
  215. }
  217. /**
  218. * Lors des documents personnalisé, permet de savoit si le user peut voir le document
  219. *
  220. * @param User|null $user
  221. * @param $id
  222. *
  223. * @return bool
  224. *
  225. * @throws \JsonException
  226. */
  227. public function isDocumentSelectedForUser(?User $user, $id): bool
  228. {
  229. return $this->parameterService->isDocumentSelectedForUser($user, $id);
  230. }
  232. /**
  233. * Permet de savoir si on component est visible par le user courant
  234. *
  235. * Ne doit être utilisé que pour l'affichage twig des components en front
  236. *
  237. * @param array|null $componentOptions
  238. * @param bool $debug
  239. * @return bool
  240. * @throws InvalidArgumentException
  241. */
  242. public function canDisplayComponentByAcl(?array $componentOptions, bool $debug = FALSE)
  243. {
  245. if($componentOptions === NULL || $componentOptions === [])
  246. {
  247. return TRUE;
  248. }
  250. [$currentRoute] = $this->getCurrentRouteContext();
  251. $currentUser = $this->getCurrentUser();
  253. $item = $componentOptions['item'] ?? $componentOptions;
  254. $display = $item['display'] ?? [];
  255. $univers = $item['univers'] ?? [];
  256. $componentAcl = $item['data']['data-component-acl'] ?? ACL::ACL_NO_COMPONENT;
  257. $cacheKey = implode('|', [
  258. $currentRoute ?? 'no-route',
  259. $currentUser instanceof User ? $currentUser->getId() : 'anonymous',
  260. $componentAcl,
  261. (int)($item['enabled'] ?? true),
  262. md5(json_encode($display)),
  263. md5(json_encode($univers)),
  264. ]);
  266. if(array_key_exists($cacheKey, $this->componentVisibilityCache))
  267. {
  268. return $this->componentVisibilityCache[$cacheKey];
  269. }
  271. // Le component est actif sur la page ?
  272. $canDisplay = (bool)$item['enabled'] ?? TRUE;
  273. if(!$canDisplay)
  274. {
  275. return $this->componentVisibilityCache[$cacheKey] = FALSE;
  276. }
  278. // on regarde s'il peut s'afficher sur la page via la clef display
  279. $canDisplay = $this->canDisplayOnPageByConfig($display, $debug);
  280. if(!$canDisplay)
  281. {
  282. return $this->componentVisibilityCache[$cacheKey] = FALSE;
  283. }
  285. // on recherche l'acl si on peut récupérer son slug data-component-acl
  286. if(isset($item['data']['data-component-acl']))
  287. {
  288. $canDisplay = $this->userIsGranted($currentUser instanceof User ? $currentUser : null, $componentAcl);
  289. }
  290. if(!$canDisplay)
  291. {
  292. return $this->componentVisibilityCache[$cacheKey] = FALSE;
  293. }
  295. // on regarde s'il y a des univers... on verifie le currentUser car le component peut être utilisé en partie security
  296. if($currentUser instanceof User && $univers !== [])
  297. {
  298. if($canDisplay && !$currentUser->isDeveloper() && !$currentUser->isSuperAdmin())
  299. {
  300. $canDisplay = $this->aclService->canDisplayByUniverses($currentUser, $univers);
  301. }
  302. }
  304. return $this->componentVisibilityCache[$cacheKey] = $canDisplay;
  305. }
  307. /**
  308. * Défini si un component s'affiche via la clef display
  309. *
  310. * Elle contient 2 enfants:
  311. * enabled_on : array (tableau de route)|null
  312. * disabled_on : array (tableau de route)|null
  313. * Si disabled_on est a autre chose que null, alors c'est lui qui prend l'ascendant
  314. * Afficher partout => enabled_on: null + disabled_on: [] ou null
  315. *
  316. * @param array $display
  317. *
  318. * @return bool
  319. */
  320. private function canDisplayOnPageByConfig(array $display, bool $debug = FALSE)
  321. {
  322. [$currentRoute] = $this->getCurrentRouteContext();
  324. if($currentRoute === NULL)
  325. {
  326. return $this->checkWhenRouteIsNull();
  327. }
  329. $cacheKey = md5(json_encode([$currentRoute, $display]));
  330. if(array_key_exists($cacheKey, $this->displayConfigCache))
  331. {
  332. return $this->displayConfigCache[$cacheKey];
  333. }
  335. $canDisplay = TRUE; // par défaut on affiche
  337. // On prend la config du disabled_on si elle n'est pas nulle
  338. $displayByDisabled = FALSE;
  339. if(isset($display['disabled_on']) && $display['disabled_on'] !== NULL)
  340. {
  341. $displayByDisabled = TRUE;
  342. }
  344. // On prend la config enbaled_on
  345. if(isset($display['enabled_on']) && !$displayByDisabled)
  346. {
  348. $arrayRoute = $display['enabled_on'];
  350. if(gettype($display['enabled_on']) === "string")
  351. {
  352. $arrayRoute = json_decode($display['enabled_on'], true);
  353. }
  355. switch(TRUE)
  356. {
  357. // tableau vide, ce n'est pas visible
  358. case $arrayRoute === []:
  359. $canDisplay = FALSE;
  360. break;
  361. // NULL ou valeur qui n'est pas un tableau, on considère que c'est visible
  362. // ainsi si enabled_on et disabled_on sont NULL, on affiche
  363. case $arrayRoute === NULL:
  364. case !is_array($arrayRoute):
  365. $canDisplay = TRUE;
  366. break;
  367. // on regarde si la route actuelle est dans le tableau pour l'afficher
  368. default:
  369. $canDisplay = in_array($currentRoute, $arrayRoute, TRUE);
  370. break;
  371. }
  372. }
  374. // on prend la config disabled_on
  375. if(isset($display['disabled_on']) && $displayByDisabled)
  376. {
  378. $arrayRoute = $display['disabled_on'];
  380. if(gettype($display['disabled_on']) === "string")
  381. {
  382. $arrayRoute = json_decode($display['disabled_on'], true);
  383. }
  385. switch(TRUE)
  386. {
  387. // tableau vide, c'est visible partout
  388. case $arrayRoute === []:
  389. $canDisplay = TRUE;
  390. break;
  391. // NULL ou valeur qui n'est pas un tableau, on refuse l'affichage
  392. // Normalement on ne tombe pas dans cette configuration puisque $displayByDisabled est FALSE
  393. case $arrayRoute === NULL:
  394. case !is_array($arrayRoute):
  395. $canDisplay = FALSE;
  396. break;
  397. // on regarde si la route actuelle est dans le tableau pour refuser l'affichage
  398. default:
  399. $canDisplay = !in_array($currentRoute, $arrayRoute, TRUE);
  400. break;
  401. }
  402. }
  404. return $this->displayConfigCache[$cacheKey] = $canDisplay;
  405. }
  407. private function getCurrentRouteContext(): array
  408. {
  409. if($this->currentRequestResolved)
  410. {
  411. return [$this->currentRouteCache, $this->currentRouteParamsCache];
  412. }
  414. $request = $this->requestStack->getCurrentRequest();
  415. $this->currentRouteCache = $request?->get('_route');
  416. $this->currentRouteParamsCache = $request?->get('_route_params');
  417. $this->currentRequestResolved = true;
  419. return [$this->currentRouteCache, $this->currentRouteParamsCache];
  420. }
  422. private function getCurrentUser(): User|UserInterface|null
  423. {
  424. if($this->currentUserResolved)
  425. {
  426. return $this->currentUserCache;
  427. }
  429. $this->currentUserCache = $this->security->getUser();
  430. $this->currentUserResolved = true;
  432. return $this->currentUserCache;
  433. }
  435. /**
  436. * Permet de savoir si le user peut voir le slider
  437. *
  438. * Les acl du slider sont intégré à l'édition de l'entité
  439. *
  440. * @param User $user
  441. * @param SliderItem $item
  442. *
  443. * @return bool
  444. */
  445. public function canDisplaySliderItem(?User $user, SliderItem $item): bool
  446. {
  447. if(!$user) return FALSE;
  449. $jobs = $item->getDisplayJob();
  450. $universes = $item->getDisplayUniverses();
  452. // Le superadmin et dev doivent pouvoir tout voir...
  453. if($user->isDeveloper() || $user->isSuperAdmin())
  454. {
  455. return TRUE;
  456. }
  458. // Par défaut, tout s'affiche
  459. $canDisplay = TRUE;
  461. // SI config par job on regarde si ça match
  462. if($jobs !== NULL && !in_array($user->getJob(), $jobs, TRUE))
  463. {
  464. $canDisplay = FALSE;
  465. }
  467. // Si config par univers on regarde si ça match
  468. if($universes !== NULL)
  469. {
  470. foreach($user->getUniverses() as $userUnivers)
  471. {
  472. if(in_array($userUnivers->getSlug(), $universes, TRUE))
  473. {
  474. $canDisplay = TRUE;
  475. break;
  476. }
  477. $canDisplay = FALSE;
  478. }
  479. }
  481. return $canDisplay;
  482. }
  484. /**
  485. * Normalise la transformation de l'array qui contient les params d'une route pour la transformer en string
  486. * @param array $params
  487. *
  488. * @return false|string
  489. * @throws \JsonException
  490. */
  491. public function formatParamsToString(array $params)
  492. {
  493. return $this->aclService->formatArrayParamsToString($params);
  494. }
  496. /**
  497. * Retourne un tableau avec la liste de roles et les jobs relatif à ces roles
  498. *
  499. * @return array[]
  500. */
  501. public function getDefaultRolesAndJobs()
  502. {
  503. return $this->aclService->getDefaultRoleAndJob();
  504. }
  506. /**
  507. * @return UserInterface|null
  508. */
  509. public function getOriginalUser(): ?UserInterface
  510. {
  511. $token = $this->security->getToken();
  513. if($token instanceof SwitchUserToken)
  514. {
  515. $user = $token->getOriginalToken()->getUser();
  516. $user = $this->em->getRepository(User::class)->findOneBy(['email' => $user->getEmail()]);
  517. return $user;
  518. }
  520. return $this->security->getUser();
  521. }
  523. /**
  524. * @param User $user
  525. * @param string $role
  526. *
  527. * @return bool
  528. */
  529. public function hasRole(User $user, string $role): bool
  530. {
  531. $reachableRoles = $this->roleHierarchy->getReachableRoleNames($user->getRoles());
  532. return in_array($role, $reachableRoles);
  533. }
  534. }