src/Platform/SecurityBundle/Security/Voter/CmsVoter.php line 21

Open in your IDE?
  1. <?php
  3. namespace Platform\SecurityBundle\Security\Voter;
  5. use App\Entity\Content\AbstractObject;
  6. use App\Entity\Feed\AbstractEntry;
  7. use App\Entity\System\School;
  8. use Cms\ContainerBundle\Entity\Container;
  9. use Cms\ContainerBundle\Entity\Containers\PersonalContainer;
  10. use Cms\ContainerBundle\Entity\Containers\StorageContainer;
  11. use Cms\ModuleBundle\Entity\ModuleEntity;
  12. use Cms\ModuleBundle\Model\ModuleConfig;
  13. use Platform\SecurityBundle\Entity\Identity\Account;
  14. use Platform\SecurityBundle\Model\PlatformSubject;
  15. use Platform\SecurityBundle\Security\PlatformVoter;
  16. use Symfony\Component\Security\Core\Authorization\Voter\VoterInterface;
  18. /**
  19.  *
  20.  */
  21. final class CmsVoter extends PlatformVoter
  22. {
  23.     /**
  24.      * {@inheritDoc}
  25.      */
  26.     protected function supports(
  27.         Account $account,
  28.         string $attribute,
  29.         ?PlatformSubject $subject null
  30.     ): bool
  31.     {
  32.         // for this to be a cms vote, the permission should be prefixed a certain way
  33.         if ( ! $this->sentry->isCmsPermission($attribute)) {
  34.             return false;
  35.         }
  37.         // allow passing of a school
  38.         // context for cms should always be a department if any context is given
  39.         // only check this if we are performing a real check
  40.         if ($subject) {
  41.             $context = ($subject->getContext() instanceof School) ? $subject->getContext()->getDepartment() : $subject->getContext();
  42.             if ($context && ! $context instanceof Container) {
  43.                 return false;
  44.             }
  45.         }
  47.         return true;
  48.     }
  50.     /**
  51.      * {@inheritdoc}
  52.      */
  53.     protected function poll(
  54.         Account $account,
  55.         string $permission,
  56.         ?PlatformSubject $subject null
  57.     ): int
  58.     {
  59.         // this should have already been checked by the support method...
  60.         $context null;
  61.         if ($subject) {
  62.             $context = ($subject->getContext() instanceof School) ? $subject->getContext()->getDepartment() : $subject->getContext();
  63.             if ($context && ! $context instanceof Container) {
  64.                 throw new \LogicException();
  65.             }
  66.         }
  68.         return $this->sentry->check($account$permission$context)
  69.             ? VoterInterface::ACCESS_GRANTED
  70.             VoterInterface::ACCESS_ABSTAIN;
  71.     }
  73.     /**
  74.      * {@inheritdoc}
  75.      */
  76.     protected function try(
  77.         Account $account,
  78.         string $permission
  79.     ): int
  80.     {
  81.         return $this->sentry->try($account$permission)
  82.             ? VoterInterface::ACCESS_GRANTED
  83.             VoterInterface::ACCESS_ABSTAIN;
  84.     }
  86.     /**
  87.      * {@inheritDoc}
  88.      */
  89.     protected function attributes(
  90.         array $attributes,
  91.         Account $account,
  92.         ?PlatformSubject $subject null
  93.     ): array
  94.     {
  95.         // if we have a personal site, we want to be able to do anything in it
  96.         // therefore, we should also be checking the personal sites permission
  97.         // prepend to the array as in this case, this check is likely to succeed first
  98.         if ($subject && $subject->getContext() instanceof PersonalContainer && $subject->getContext()->getAccount() === $account) {
  99.             $attributes = [
  100.                 'campussuite.cms.me.sites',
  101.                 ...$attributes,
  102.             ];
  103.         }
  105.         // hack for smm stuff
  106.         if ($subject && $subject->getContext() instanceof StorageContainer && $subject->getContext()->getSlug() === 'smm') {
  107.             $attributes = [
  108.                 'campussuite.smm.manage',
  109.                 ...$attributes,
  110.             ];
  111.         }
  113.         // do some extra checks based on the thing we are enforcing permissions on
  114.         $thing $subject $subject->getThing() : null;
  116.         // if we are checking for the module management permission, and have a specific subject, we can also tack on the specific content-type permission
  117.         if ($thing instanceof ModuleEntity && in_array('campussuite.cms.module.manage'$attributestrue)) {
  118.             $attributes[] = sprintf(
  119.                 'campussuite.cms.modules.%s.manage',
  120.                 $this->moduleManager->getModuleConfigurationForEntity($thing)->key(),
  121.             );
  122.         }
  123.         if ($thing instanceof ModuleConfig && in_array('campussuite.cms.module.manage'$attributestrue)) {
  124.             $attributes[] = sprintf(
  125.                 'campussuite.cms.modules.%s.manage',
  126.                 $thing->key(),
  127.             );
  128.         }
  130.         // new object tables
  131.         if ($thing instanceof AbstractObject && in_array('campussuite.cms.module.manage'$attributestrue)) {
  132.             $attributes[] = sprintf(
  133.                 'campussuite.cms.modules.%s.manage',
  134.                 $thing::ROUTING_SLUG,
  135.             );
  136.         }
  138.         // handle schoolnow feed entries
  139.         if ($thing instanceof AbstractEntry && in_array('campussuite.cms.module.manage'$attributestrue)) {
  140.             $attributes = [
  141.                 ...$attributes,
  142.                 AbstractEntry::PERMISSION_MAP[$thing->getType()],
  143.             ];
  144.         }
  146.         return parent::attributes($attributes$account$subject);
  147.     }
  148. }