src/Platform/SecurityBundle/Security/PlatformVoter.php line 140

Open in your IDE?
  1. <?php
  3. namespace Platform\SecurityBundle\Security;
  5. use App\Model\Cacher;
  6. use App\Security\Core\Authorization\Voter\TesterVoterInterface;
  7. use Cms\FrontendBundle\Service\ResolverManager;
  8. use Cms\ModuleBundle\Service\ModuleManager;
  9. use Doctrine\Common\Util\ClassUtils;
  10. use Platform\SecurityBundle\Entity\Identity\Account;
  11. use Platform\SecurityBundle\Model\PlatformSubject;
  12. use Platform\SecurityBundle\Service\Sentry;
  13. use Symfony\Component\DependencyInjection\ParameterBag\ParameterBagInterface;
  14. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  15. use Symfony\Component\Security\Core\Authorization\Voter\VoterInterface;
  17. /**
  18.  * Class PlatformVoter
  19.  * @package Platform\SecurityBundle\Security
  20.  */
  21. abstract class PlatformVoter implements VoterInterfaceTesterVoterInterface
  22. {
  23.     /**
  24.      * @var array
  25.      */
  26.     public static array $votes = [];
  28.     /**
  29.      * @var array
  30.      */
  31.     public static array $polls = [];
  33.     /**
  34.      * @var Sentry
  35.      */
  36.     protected Sentry $sentry;
  38.     /**
  39.      * @var Cacher|null
  40.      */
  41.     protected static ?Cacher $cache null;
  43.     /**
  44.      * @var ResolverManager
  45.      */
  46.     protected ResolverManager $rm;
  48.     /**
  49.      * @var ParameterBagInterface
  50.      */
  51.     protected ParameterBagInterface $params;
  53.     /**
  54.      * @var ModuleManager
  55.      */
  56.     protected ModuleManager $moduleManager;
  58.     /**
  59.      * @param Sentry $sentry
  60.      * @param ResolverManager $rm
  61.      * @param ParameterBagInterface $params
  62.      * @param ModuleManager $moduleManager
  63.      */
  64.     public function __construct(
  65.         Sentry $sentry,
  66.         ResolverManager $rm,
  67.         ParameterBagInterface $params,
  68.         ModuleManager $moduleManager
  69.     )
  70.     {
  71.         if ( ! self::$cache) {
  72.             self::$cache = new Cacher();
  73.         }
  74.         $this->sentry $sentry;
  75.         $this->rm $rm;
  76.         $this->params $params;
  77.         $this->moduleManager $moduleManager;
  78.     }
  80.     /**
  81.      * {@inheritdoc}
  82.      */
  83.     public function vote(TokenInterface $token$subject, array $attributes): int
  84.     {
  85.         // we are only interested if the user object is an account type
  86.         $account $token->getUser();
  87.         if ( ! $account instanceof Account) {
  88.             return VoterInterface::ACCESS_ABSTAIN;
  89.         }
  91.         // normalize the subject
  92.         $subject PlatformSubject::factory($subject);
  94.         // clean up the atttributes
  95.         $attrs $this->attributes($attributes$account$subject);
  97.         // DEBUGGING
  98.         $timestamp microtime(true);
  100.         // determine if we actually checked anything
  101.         // may affect the final result
  102.         $checking 0;
  104.         // loop over the attributes that we have to check
  105.         foreach ($attrs as $attr) {
  107.             // generate a cache key
  108.             $lookup implode('|', [
  109.                 static::class,
  110.                 $account->getId(),
  111.                 $attr,
  112.                 $subject->getContext() ? $subject->getContext()->getId() : null,
  113.             ]);
  115.             // attempt to grab a cached value
  116.             $cached self::$cache->get(__FUNCTION__$lookup);
  118.             // a false return means the support check failed last time through
  119.             // continue on in that case as we don't have anything to do
  120.             // also, see if we need to skip the check
  121.             // flag in the cache if we do and haven't cached yet
  122.             if ($cached === false || ! $this->isSupported($account$attr$subject)) {
  123.                 if ($cached !== false) {
  124.                     self::$cache->set(__FUNCTION__$lookupfalse);
  125.                 }
  126.                 continue;
  127.             }
  129.             // we are running some kind of check
  130.             $checking++;
  132.             // DEBUGGING
  133.             $polled microtime(true);
  135.             // if a miss, try to grab it
  136.             $result $cached;
  137.             if ($result === null) {
  139.                 // try checking
  140.                 $result $this->poll($account$attr$subject);
  142.                 // set in the cache
  143.                 self::$cache->set(__FUNCTION__$lookup$result);
  145.             }
  147.             // DEBUGGING
  148.             self::$polls[] = [
  149.                 'time' => $polled,
  150.                 'op' => str_replace(__NAMESPACE__.'\\Voter\\''', static::class) . '::poll',
  151.                 'cached' => is_int($cached),
  152.                 'account' => $account->getEmail(),
  153.                 'permission' => $attr,
  154.                 'context' => $subject->getContext() ? [
  155.                     ClassUtils::getClass($subject->getContext()),
  156.                     $subject->getContext()->getId(),
  157.                     $subject->getContext()->getName(),
  158.                 ] : null,
  159.                 'thing' => $subject->getThing() ? [
  160.                     ClassUtils::getClass($subject->getThing()),
  161.                     $subject->getThing()->getId(),
  162.                 ] : null,
  163.                 'access' => $result,
  164.             ];
  166.             // if we're not abstaining, we want to return immediately
  167.             if ($result !== VoterInterface::ACCESS_ABSTAIN) {
  169.                 // DEBUGGING
  170.                 self::$votes[] = [
  171.                     'time' => $timestamp,
  172.                     'op' => str_replace(__NAMESPACE__.'\\Voter\\''', static::class) . '::' __FUNCTION__,
  173.                     'cached' => false,
  174.                     'account' => $account->getEmail(),
  175.                     'permission' => $attrs,
  176.                     'context' => $subject->getContext() ? [
  177.                         ClassUtils::getClass($subject->getContext()),
  178.                         $subject->getContext()->getId(),
  179.                         $subject->getContext()->getName(),
  180.                     ] : null,
  181.                     'thing' => $subject->getThing() ? [
  182.                         ClassUtils::getClass($subject->getThing()),
  183.                         $subject->getThing()->getId(),
  184.                     ] : null,
  185.                     'access' => $result,
  186.                 ];
  188.                 return $result;
  190.             }
  192.         }
  194.         // if all polls didn't abstain by this point, we should deny access as no other voters should need to trigger (all perms covered by this voter)
  195.         $result = ($checking === count($attrs))
  196.             ? VoterInterface::ACCESS_DENIED
  197.             VoterInterface::ACCESS_ABSTAIN;
  199.         // DEBUGGING
  200.         if ($checking) {
  201.             self::$votes[] = [
  202.                 'time' => $timestamp,
  203.                 'op' => str_replace(__NAMESPACE__.'\\Voter\\''', static::class) . '::' __FUNCTION__,
  204.                 'cached' => false,
  205.                 'account' => $account->getEmail(),
  206.                 'permission' => $attrs,
  207.                 'context' => $subject->getContext() ? [
  208.                     ClassUtils::getClass($subject->getContext()),
  209.                     $subject->getContext()->getId(),
  210.                     $subject->getContext()->getName(),
  211.                 ] : null,
  212.                 'thing' => $subject->getThing() ? [
  213.                     ClassUtils::getClass($subject->getThing()),
  214.                     $subject->getThing()->getId(),
  215.                 ] : null,
  216.                 'access' => $result,
  217.             ];
  218.         }
  220.         // abstain by default
  221.         return $result;
  222.     }
  224.     /**
  225.      * {@inheritdoc}
  226.      */
  227.     public function test(TokenInterface $token, array $attributes): int
  228.     {
  229.         // we are only interested if the user object is an account type
  230.         $account $token->getUser();
  231.         if ( ! $account instanceof Account) {
  232.             return VoterInterface::ACCESS_ABSTAIN;
  233.         }
  235.         // clean up the atttributes
  236.         $attrs $this->attributes($attributes$account);
  238.         // DEBUGGING
  239.         $timestamp microtime(true);
  241.         // determine if we actually checked anything
  242.         // may affect the final result
  243.         $checking 0;
  245.         // loop over the attributes that we have to check
  246.         foreach ($attrs as $attr) {
  248.             // if we have an alias still, that may be a problem
  249.             if ($this->sentry->isAlias($attr)) {
  251.                 // if we are debugging, this is expected, so just skip it
  252.                 if ($this->params->get('kernel.debug')) {
  253.                     continue;
  254.                 }
  256.                 // not debugging, so unexpected...
  257.                 throw new \LogicException();
  259.             }
  261.             // generate a cache key
  262.             $lookup implode('|', [
  263.                 static::class,
  264.                 $account->getId(),
  265.                 $attr,
  266.             ]);
  268.             // attempt to grab a cached value
  269.             $cached self::$cache->get(__FUNCTION__$lookup);
  271.             // a false return means the support check failed last time through
  272.             // continue on in that case as we don't have anything to do
  273.             // also, see if we need to skip the check
  274.             // flag in the cache if we do and haven't cached yet
  275.             if ($cached === false || ! $this->isSupported($account$attr)) {
  276.                 if ($cached !== false) {
  277.                     self::$cache->set(__FUNCTION__$lookupfalse);
  278.                 }
  279.                 continue;
  280.             }
  282.             // we are running some kind of check
  283.             $checking++;
  285.             // DEBUGGING
  286.             $polled microtime(true);
  288.             // if a miss, try to grab it
  289.             $result $cached;
  290.             if ($result === null) {
  292.                 // try checking
  293.                 $result $this->try($account$attr);
  295.                 // set in the cache
  296.                 self::$cache->set(__FUNCTION__$lookup$result);
  298.             }
  300.             // DEBUGGING
  301.             self::$polls[] = [
  302.                 'time' => $polled,
  303.                 'op' => str_replace(__NAMESPACE__.'\\Voter\\''', static::class) . '::try',
  304.                 'cached' => is_int($cached),
  305.                 'account' => $account->getEmail(),
  306.                 'permission' => $attr,
  307.                 'context' => null,
  308.                 'thing' => null,
  309.                 'access' => $result,
  310.             ];
  312.             // if we're not abstaining, we want to return immediately
  313.             if ($result !== VoterInterface::ACCESS_ABSTAIN) {
  315.                 // DEBUGGING
  316.                 self::$votes[] = [
  317.                     'time' => $timestamp,
  318.                     'op' => str_replace(__NAMESPACE__.'\\Voter\\''', static::class) . '::' __FUNCTION__,
  319.                     'cached' => false,
  320.                     'account' => $account->getEmail(),
  321.                     'permission' => $attrs,
  322.                     'context' => null,
  323.                     'thing' => null,
  324.                     'access' => $result,
  325.                 ];
  327.                 return $result;
  329.             }
  331.         }
  333.         // if all polls didn't abstain by this point, we should deny access as no other voters should need to trigger (all perms covered by this voter)
  334.         $result = ($checking === count($attrs))
  335.             ? VoterInterface::ACCESS_DENIED
  336.             VoterInterface::ACCESS_ABSTAIN;
  338.         // DEBUGGING
  339.         if ($checking) {
  340.             self::$votes[] = [
  341.                 'time' => $timestamp,
  342.                 'op' => str_replace(__NAMESPACE__.'\\Voter\\''', static::class) . '::' __FUNCTION__,
  343.                 'cached' => false,
  344.                 'account' => $account->getEmail(),
  345.                 'permission' => $attrs,
  346.                 'context' => null,
  347.                 'thing' => null,
  348.                 'access' => $result,
  349.             ];
  350.         }
  352.         // abstain by default
  353.         return $result;
  354.     }
  356.     /**
  357.      * @param Account $account
  358.      * @param string $permission
  359.      * @param PlatformSubject|null $subject
  360.      * @return int
  361.      */
  362.     abstract protected function poll(
  363.         Account $account,
  364.         string $permission,
  365.         ?PlatformSubject $subject
  366.     ): int;
  368.     /**
  369.      * @param Account $account
  370.      * @param string $permission
  371.      * @return int
  372.      */
  373.     abstract protected function try(
  374.         Account $account,
  375.         string $permission
  376.     ): int;
  378.     /**
  379.      * @param array<string> $attributes
  380.      * @param Account $account
  381.      * @param PlatformSubject|null $subject
  382.      * @return array<string>
  383.      */
  384.     protected function attributes(
  385.         array $attributes,
  386.         Account $account,
  387.         ?PlatformSubject $subject null
  388.     ): array
  389.     {
  390.         return array_unique($attributes);
  391.     }
  393.     /**
  394.      * @param Account $account
  395.      * @param string $attribute
  396.      * @param PlatformSubject|null $subject
  397.      * @return bool
  398.      */
  399.     abstract protected function supports(
  400.         Account $account,
  401.         string $attribute,
  402.         ?PlatformSubject $subject null
  403.     ): bool;
  405.     /**
  406.      * @param Account $account
  407.      * @param string $attribute
  408.      * @param PlatformSubject|null $subject
  409.      * @return bool
  410.      */
  411.     protected function isSupported(
  412.         Account $account,
  413.         string $attribute,
  414.         ?PlatformSubject $subject null
  415.     ): bool
  416.     {
  417.         return (
  418.                 $this->sentry->isPermission($attribute)
  419.                 || $this->sentry->isSpecialPermission($attribute)
  420.                 || $this->sentry->isInternalPermission($attribute)
  421.             )
  422.             && $this->supports($account$attribute$subject)
  423.         ;
  424.     }
  425. }