src/Twig/Runtime/AclRuntime.php line 113

Open in your IDE?
  1. <?php
  2.     /** @noinspection ALL */
  4.     namespace App\Twig\Runtime;
  6.     use App\Constants\ACL;
  7.     use App\Entity\Parameter;
  8.     use App\Entity\SliderItem;
  9.     use App\Entity\User;
  10.     use App\Model\Product;
  11.     use App\Services\Back\ParameterService;
  12.     use App\Services\Common\AclServiceV2;
  13.     use Doctrine\ORM\EntityManagerInterface;
  14.     use Psr\Cache\InvalidArgumentException;
  15.     use Symfony\Component\HttpFoundation\RequestStack;
  16.     use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  17.     use Symfony\Component\Security\Core\Security;
  18.     use Symfony\Component\Security\Core\User\UserInterface;
  19.     use Twig\Extension\RuntimeExtensionInterface;
  20.     use Symfony\Component\Security\Core\Role\RoleHierarchyInterface;
  22.     /**
  23.      * Rassemble toute les fonction disponible dans twig qui touchent aux ACL et à l'affichage des données via les règles acl ou les systèmes paralèlles (roles, jobs sur les entités comme pour les slider ou les documents)
  24.      */
  25.     class AclRuntime implements RuntimeExtensionInterface
  26.     {
  27.         private AclServiceV2 $aclService;
  28.         private RequestStack $requestStack;
  29.         private ParameterService $parameterService;
  31.         private Security $security;
  32.         private RoleHierarchyInterface $roleHierarchy;
  33.         private EntityManagerInterface $em;
  36.         public function __construct(
  37.             AclServiceV2 $aclService,
  38.             RequestStack     $requestStack,
  39.             ParameterService $parameterService,
  40.             Security $security,
  41.             RoleHierarchyInterface $roleHierarchy,
  42.             EntityManagerInterface $em
  43.         )
  44.         {
  45.             $this->aclService $aclService;
  46.             $this->requestStack     $requestStack;
  47.             $this->parameterService $parameterService;
  48.             $this->security $security;
  49.             $this->roleHierarchy $roleHierarchy;
  50.             $this->em $em;
  51.         }
  53.         /**
  54.          * Permet de savoir si le user a le droit d'accéder à la route
  55.          * @param User|null $user
  56.          * @param string $route
  57.          * @param array $params
  58.          * @param string $env
  59.          * @return bool
  60.          */
  61.         public function userIsGrantedRoute(
  62.             ?User $user,
  63.             string $route,
  64.             array $params = [],
  65.             string $env ACL::FRONT_ENV,
  66.             bool $debug FALSE
  67.         )
  68.         {
  69.             $config = [
  70.                 'route' => $route,
  71.                 'params' => $params,
  72.                 'component' => ACL::ACL_NO_COMPONENT,
  73.                 'slug' => ACL::ACL_NO_SLUG,
  74.                 'action' => ACL::READ,
  75.                 'env' => $env,
  76.             ];
  78.             return $this->aclService->userIsGranted$user$config$debug );
  79.         }
  81.         /**
  82.          * Permet de savoir si un user peut faire une action en fonction de son rôle ou de son job
  83.          *
  84.          * @param User|null $user
  85.          * @param string    $slug
  86.          * @param string    $action
  87.          * @param string    $env
  88.          *
  89.          * @return bool
  90.          *
  91.          * @throws InvalidArgumentException
  92.          */
  93.         public function userIsGranted(
  94.             ?User $user,
  95.             string $component,
  96.             string $slug ACL::ACL_NO_SLUG,
  97.             string $action ACL::READ,
  98.             string $env ACL::FRONT_ENV,
  99.             string $route NULL,
  100.             string $params NULL,
  101.             bool $debug FALSE
  102.         ): bool
  103.         {
  104.             $currentRoute $route ?? $this->requestStack->getCurrentRequest()->get'_route' );
  105.             $currentParams $params ?? $this->requestStack->getCurrentRequest()->get'_route_params' );
  107.             if ($currentRoute === NULL){
  108.                 return $this->checkWhenRouteIsNull();
  109.             }
  111.             $config = [
  112.                 'route' => $currentRoute,
  113.                 'params' => $this->aclService->getRouteParamsForAcl($currentRoute$currentParams),
  114.                 'component' => $component,
  115.                 'slug' => $slug,
  116.                 'action' => $action,
  117.                 'env' => $env,
  118.             ];
  120.             return $this->aclService->userIsGranted$user$config$debug );
  121.         }
  123.         /**
  124.          * Logique pour éviter des erreurs 500 si jamais une route est évaluée à NULL
  125.          * Si on est dans le cas d'une exception on autorise la visualition
  126.          * @return true
  127.          * @throws \Exception
  128.          */
  129.         private function checkWhenRouteIsNull()
  130.         {
  131.             $request $this->requestStack->getCurrentRequest();
  132.             $exeption $request->attributes->get('exception');
  134.             if ($exeption !== null) {
  135.                 return TRUE;
  136.             }
  138.             throw new \Exception('Une erreur est survenue, la route ne peut pas être null et ne pas être une exception');
  139.         }
  141.         /**
  142.          * Permet de savoir si le current user à le droit de voir le catalogue par son slug
  143.          * @param $catalogue
  144.          * @return bool
  145.          * @throws InvalidArgumentException
  146.          */
  147.         public function userIsGrantedCatalogue($catalogue)
  148.         {
  149.             $currentUser $this->security->getUser();
  150.             return $this->aclService->userIsGrantedCatalogue($currentUser$catalogue);
  151.         }
  153.         /**
  154.          * Permet de savoir si le current user à le droit de voir le produit
  155.          * @param Product $product
  156.          *
  157.          * @return bool
  158.          * @throws \JsonException
  159.          */
  160.         public function userIsGrantedProduct(Product $product)
  161.         {
  162.             $currentUser $this->security->getUser();
  163.             return $this->aclService->userIsGrantedProduct($currentUser$product);
  165.         }
  167.         /**
  168.          * Retourne le slug du premier catalogue qui contient le produit et qui est accèssible au user courant
  169.          * @param Product $product
  170.          *
  171.          * @return mixed|null
  172.          * @throws \JsonException
  173.          */
  174.         public function getUserFirstGrantedCatalogSlugForProduct(Product $product)
  175.         {
  176.             $currentUser $this->security->getUser();
  177.             return $this->aclService->getUserFirstGrantedCatalogSlugForProduct($currentUser$product);
  178.         }
  181.         /**
  182.          * Défini si l'utilisateur à le droit de voir le document
  183.          *
  184.          * @param User|null $user
  185.          * @param Parameter $document
  186.          *
  187.          * @return bool
  188.          *
  189.          * @throws \JsonException
  190.          */
  191.         public function canDisplayDocument( ?User $userParameter $document ): bool
  192.         {
  193.             return $this->aclService->userIsGrantedOnDocument$user$document );
  194.         }
  197.         /**
  198.          * Lors des documents personnalisé, permet de savoit si le user peut voir le document
  199.          *
  200.          * @param User|null $user
  201.          * @param           $id
  202.          *
  203.          * @return bool
  204.          *
  205.          * @throws \JsonException
  206.          */
  207.         public function isDocumentSelectedForUser( ?User $user$id ): bool
  208.         {
  209.             return $this->parameterService->isDocumentSelectedForUser$user$id );
  210.         }
  213.         /**
  214.          * Permet de savoir si on component est visible par le user courant
  215.          *
  216.          * Ne doit être utilisé que pour l'affichage twig des components en front
  217.          *
  218.          * @param array|null $componentOptions
  219.          * @param bool $debug
  220.          * @return bool
  221.          * @throws InvalidArgumentException
  222.          */
  223.         public function canDisplayComponentByAcl(?array $componentOptionsbool $debug FALSE)
  224.         {
  226.             if ($componentOptions === NULL || $componentOptions === []){
  227.                 return TRUE;
  228.             }
  229.             $item $componentOptions['item'] ?? $componentOptions;
  231.             // Le component est actif sur la page ?
  232.             $canDisplay = (bool)$item'enabled' ] ?? TRUE;
  233.             if (!$canDisplay) {
  234.                 return FALSE;
  235.             }
  237.             // on regarde s'il peut s'afficher sur la page via la clef display
  238.             $canDisplay $this->canDisplayOnPageByConfig($item['display'], $debug);
  239.             if (!$canDisplay) {
  240.                 return FALSE;
  241.             }
  243.             /** @var User $currentUser */
  244.             $currentUser $this->security->getUser();
  246.             // on recherche l'acl si on peut récupérer son slug data-component-acl
  247.             if ( isset($item['data']['data-component-acl'])){
  248.                 $canDisplay $this->userIsGranted($currentUser$item['data']['data-component-acl'] ?? ACL::ACL_NO_COMPONENT);
  249.             }
  250.             if (!$canDisplay) {
  251.                 return FALSE;
  252.             }
  254.             // on regarde s'il y a des univers... on verifie le currentUser car le component peut être utilisé en partie security
  255.             if ($currentUser !== NULL && isset($item['univers'])){
  256.                 if ( $canDisplay && !$currentUser->isDeveloper() && !$currentUser->isSuperAdmin() && isset($item['univers'])){
  257.                     $canDisplay $this->aclService->canDisplayByUniverses($currentUser$item['univers']);
  258.                 }
  259.             }
  261.             return $canDisplay;
  263.         }
  265.         /**
  266.          * Défini si un component s'affiche via la clef display
  267.          *
  268.          * Elle contient 2 enfants:
  269.          * enabled_on : array (tableau de route)|null
  270.          * disabled_on : array (tableau de route)|null
  271.          * Si disabled_on est a autre chose que null, alors c'est lui qui prend l'ascendant
  272.          * Afficher partout => enabled_on: null + disabled_on: [] ou null
  273.          *
  274.          * @param array $display
  275.          *
  276.          * @return bool
  277.          */
  278.         private function canDisplayOnPageByConfig(array $displaybool $debug FALSE)
  279.         {
  281.             $currentRoute $this->requestStack->getCurrentRequest()->get'_route' );
  283.             if ($currentRoute === NULL){
  284.                 return $this->checkWhenRouteIsNull();
  285.             }
  287.             $canDisplay   TRUE// par défaut on affiche
  289.             // On prend la config du disabled_on si elle n'est pas nulle
  290.             $displayByDisabled FALSE;
  291.             if (isset($display['disabled_on']) && $display['disabled_on'] !== NULL){
  292.                 $displayByDisabled TRUE;
  293.             }
  295.             // On prend la config enbaled_on
  296.             if (isset($display['enabled_on']) && !$displayByDisabled){
  298.                 $arrayRoute $display['enabled_on'];
  300.                 if(gettype($display['enabled_on']) === "string") {
  301.                     $arrayRoute json_decode($display['enabled_on'], true);
  302.                 }
  304.                 switch (TRUE){
  305.                     // tableau vide, ce n'est pas visible
  306.                     case $arrayRoute === []:
  307.                         $canDisplay FALSE;
  308.                         break;
  309.                     // NULL ou valeur qui n'est pas un tableau, on considère que c'est visible
  310.                     // ainsi si enabled_on et disabled_on sont NULL, on affiche
  311.                     case $arrayRoute === NULL:
  312.                     case !is_array($arrayRoute):
  313.                         $canDisplay TRUE;
  314.                         break;
  315.                     // on regarde si la route actuelle est dans le tableau pour l'afficher
  316.                     default:
  317.                         $canDisplay in_array$currentRoute$arrayRouteTRUE );
  318.                         break;
  319.                 }
  320.             }
  322.             // on prend la config disabled_on
  323.             if (isset($display['disabled_on']) && $displayByDisabled){
  325.                 $arrayRoute $display['disabled_on'];
  327.                 if(gettype($display['disabled_on']) === "string") {
  328.                     $arrayRoute json_decode($display['disabled_on'], true);
  329.                 }
  331.                 switch (TRUE){
  332.                     // tableau vide, c'est visible partout
  333.                     case $arrayRoute === []:
  334.                         $canDisplay TRUE;
  335.                         break;
  336.                     // NULL ou valeur qui n'est pas un tableau, on refuse l'affichage
  337.                     // Normalement on ne tombe pas dans cette configuration puisque $displayByDisabled est FALSE
  338.                     case $arrayRoute === NULL:
  339.                     case !is_array($arrayRoute):
  340.                         $canDisplay FALSE;
  341.                         break;
  342.                     // on regarde si la route actuelle est dans le tableau pour refuser l'affichage
  343.                     default:
  344.                         $canDisplay = !in_array$currentRoute$arrayRouteTRUE );
  345.                         break;
  346.                 }
  347.             }
  349.             return $canDisplay;
  350.         }
  353.         /**
  354.          * Permet de savoir si le user peut voir le slider
  355.          *
  356.          * Les acl du slider sont intégré à l'édition de l'entité
  357.          *
  358.          * @param User       $user
  359.          * @param SliderItem $item
  360.          *
  361.          * @return bool
  362.          */
  363.         public function canDisplaySliderItem(?User $userSliderItem $item): bool
  364.         {
  365.             if(!$user) return FALSE;
  367.             $jobs      $item->getDisplayJob();
  368.             $universes $item->getDisplayUniverses();
  371.             // Le superadmin et dev doivent pouvoir tout voir...
  372.             if ( $user->isDeveloper() || $user->isSuperAdmin() ) {
  373.                 return TRUE;
  374.             }
  376.             // Par défaut, tout s'affiche
  377.             $canDisplay TRUE;
  379.             // SI config par job on regarde si ça match
  380.             if ( $jobs !== NULL && !in_array$user->getJob(), $jobsTRUE ) ) {
  381.                 $canDisplay FALSE;
  382.             }
  384.             // Si config par univers on regarde si ça match
  385.             if ( $universes !== NULL ) {
  386.                 foreach ( $user->getUniverses() as $userUnivers ) {
  387.                     if ( in_array$userUnivers->getSlug(), $universesTRUE ) ) {
  388.                         $canDisplay TRUE;
  389.                         break;
  390.                     }
  391.                     $canDisplay FALSE;
  392.                 }
  393.             }
  395.             return $canDisplay;
  397.         }
  399.         /**
  400.          * Normalise la transformation de l'array qui contient les params d'une route pour la transformer en string
  401.          * @param array $params
  402.          *
  403.          * @return false|string
  404.          * @throws \JsonException
  405.          */
  406.         public function formatParamsToString(array $params)
  407.         {
  408.             return $this->aclService->formatArrayParamsToString($params);
  409.         }
  412.         /**
  413.          * Retourne un tableau avec la liste de roles et les jobs relatif à ces roles
  414.          *
  415.          * @return array[]
  416.          */
  417.         public function getDefaultRolesAndJobs()
  418.         {
  419.             return $this->aclService->getDefaultRoleAndJob();
  420.         }
  423.         /**
  424.          * @return UserInterface|null
  425.          */
  426.         public function getOriginalUser(): ?UserInterface
  427.         {
  428.             $token $this->security->getToken();
  430.             if ($token instanceof SwitchUserToken)
  431.             {
  432.                 $user $token->getOriginalToken()->getUser();
  433.                 $user $this->em->getRepository(User::class)->findOneBy(['email' => $user->getEmail()]);
  434.                 return $user;
  435.             }
  437.             return $this->security->getUser();
  438.         }
  441.         /**
  442.          * @param User   $user
  443.          * @param string $role
  444.          *
  445.          * @return bool
  446.          */
  447.         public function hasRole(User $userstring $role): bool
  448.         {
  449.             $reachableRoles $this->roleHierarchy->getReachableRoleNames($user->getRoles());
  450.             return in_array($role$reachableRoles);
  451.         }
  453.     }