src/Platform/SecurityBundle/Service/Voters/ImpersonateVoter.php line 17

Open in your IDE?
  1. <?php
  3. namespace Platform\SecurityBundle\Service\Voters;
  5. use Cms\CoreBundle\Util\Doctrine\EntityManager;
  6. use Platform\SecurityBundle\Entity\Identity\Account;
  7. use Symfony\Component\HttpFoundation\RequestStack;
  8. use Symfony\Component\Security\Core\Authorization\Voter\VoterInterface;
  9. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  11. /**
  12.  * Handles the checking of permissions to see if a person is able to impersonate users.
  13.  *
  14.  * Class ImpersonateVoter
  15.  * @package Platform\SecurityBundle\Service\Voters
  16.  */
  17. final class ImpersonateVoter implements VoterInterface
  18. {
  19.     /**
  20.      * Link to current requests.
  21.      *
  22.      * @var RequestStack
  23.      */
  24.     public RequestStack $requestStack;
  26.     /**
  27.      * Will need to do DB work, mainly loading impersonated user.
  28.      *
  29.      * @var EntityManager;
  30.      */
  31.     public EntityManager $em;
  33.     /**
  34.      * @param RequestStack $requestStack
  35.      * @param EntityManager $em
  36.      */
  37.     public function __construct(RequestStack $requestStackEntityManager $em)
  38.     {
  39.         $this->requestStack $requestStack;
  40.         $this->em $em;
  41.     }
  43.     /**
  44.      * {@inheritdoc}
  45.      */
  46.     public function vote(
  47.         TokenInterface $token,
  48.         $subject,
  49.         array $attributes
  50.     ): int
  51.     {
  52.         // TODO: prevent double impersonation? maybe ensure the token isn't already an impersonated token...
  54.         // do not do anything if not legit check
  55.         if (count($attributes) !== || $attributes[0] !== 'ROLE_ALLOWED_TO_SWITCH') {
  56.             return VoterInterface::ACCESS_ABSTAIN;
  57.         }
  59.         // get the current user from the token and ensure proper type
  60.         $user $token->getUser();
  61.         if ( ! $user instanceof Account) {
  62.             return VoterInterface::ACCESS_ABSTAIN;
  63.         }
  65.         // NOTE:
  66.         // from here, we need to either grant or deny access
  67.         // we have ensured that we are trying to do something with impersonation, so a decision needs made!
  69.         // make sure this account is able to impersonate to begin with
  70.         if ( ! $user->getSpecialPermissions()->canImpersonate()) {
  71.             return VoterInterface::ACCESS_DENIED;
  72.         }
  74.         // get the account we are trying to impersonate
  75.         $impersonated $this->getImpersonatedAccount();
  77.         // ensure that there is a real account to switch to
  78.         if ( ! $impersonated instanceof Account) {
  79.             return VoterInterface::ACCESS_DENIED;
  80.         }
  82.         // if a user who is being impersonated is a superuser and the one requesting impersonation is not, must deny
  83.         if ($impersonated->getSpecialPermissions()->isSuperUser() && ! $user->getSpecialPermissions()->isSuperUser()) {
  84.             return VoterInterface::ACCESS_DENIED;
  85.         }
  87.         // if we are impersonating an internal user, and we are not, we must deny
  88.         if ($impersonated->isInternal() && ! $user->isInternal()) {
  89.             return VoterInterface::ACCESS_DENIED;
  90.         }
  92.         // make sure user can't impersonate themselves
  93.         if ($user->getId() === $impersonated->getId()) {
  94.             return VoterInterface::ACCESS_DENIED;
  95.         }
  97.         // we have run all the checks we need to run, so grant the impersonation action
  98.         return VoterInterface::ACCESS_GRANTED;
  99.     }
  101.     /**
  102.      * Tries to load impersonated account.
  103.      *
  104.      * @return Account|null
  105.      */
  106.     private function getImpersonatedAccount(): ?Account
  107.     {
  108.         // make sure we have the things we need to try and pull the id from the request
  109.         // TODO: should this use the master request instead?
  110.         if ( ! $this->requestStack->getCurrentRequest()) {
  111.             return null;
  112.         }
  114.         // obtain the id of the user we are trying to switch to
  115.         $id $this->requestStack->getCurrentRequest()->get('_switch_user');
  116.         if ( ! $id) {
  117.             return null;
  118.         }
  120.         // attempt lookup in the database
  121.         return $this->em->getRepository(Account::class)->find($id);
  122.     }
  123. }