src/Security/DevisSimulationVoter.php line 22

Open in your IDE?
  1. <?php
  2. //------------------------------------------------------------------------------
  3. // src/Security/DevisSimulationVoter.php
  4. //------------------------------------------------------------------------------
  5. namespace App\Security;
  7. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  8. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  9. use Doctrine\Persistence\ManagerRegistry;
  11. use App\Entity\Access;
  12. use App\Entity\Config\Config;
  13. use App\Entity\Config\Module;
  14. use App\Entity\HR\AccessFunction;
  15. use App\Entity\Mission\Mission;
  16. use App\Entity\Planning\Task;
  17. use App\Entity\Platform\Devis\Devis;
  18. use App\Entity\Security\Acl;
  19. use App\Entity\Security\AclPermission;
  20. use App\Services\Config\ModuleTools;
  22. class DevisSimulationVoter extends Voter
  23. {
  24.     // For now manager = author (both)
  26.     //--------------------------------------------------------------------------------
  27.     // is_granted constants
  28.     const IS_ACTIVE "devis_simulation_is_active";
  30.     const ADD_SIMULATION "add_devis_simulation";
  31.     const CONVERT_SIMULATION "convert_devis_simulation";
  32.     const DELETE_SIMULATION "delete_devis_simulation";
  34.     // Listing / Viewing is based on adding for now
  35.     // Since simulations are not society based,
  36.     // the users adding them should also be able to view them
  37.     // Maybe later make a distinction on whether all users should see all simulations
  38.     // or some users should only see their own simulations
  39.     const LIST_SIMULATION "list_devis_simulation";
  40.     const VIEW_SIMULATION "view_devis_simulation";
  42.     const IS_GRANTED_CONSTANTS = array(
  43.         self::IS_ACTIVE,
  44.         self::ADD_SIMULATION,
  45.         self::CONVERT_SIMULATION,
  46.         self::DELETE_SIMULATION,
  47.         self::LIST_SIMULATION,
  48.         self::VIEW_SIMULATION,
  49.     );
  51.     //--------------------------------------------------------------------------------
  52.     // acl constants
  53.     const ACL_PERM_ADD_SIMULATION "devis_simulation_add";
  54.     const ACL_PERM_CONVERT_SIMULATION "devis_simulation_convert";
  55.     const ACL_PERM_DELETE_SIMULATION "devis_simulation_delete";
  56.     //--------------------------------------------------------------------------------
  58.     public function __construct(ManagerRegistry $doctrineModuleTools $moduleTools)
  59.     {
  60.         $this->em $doctrine->getManager();
  61.         $this->moduleTools $moduleTools;
  63.         $this->aclRepository $this->em->getRepository(Acl::class);
  64.         $this->aclPermissionRepository $this->em->getRepository(AclPermission::class);
  65.     }
  67.     // Plan.io Task #4453 [See AccessVoter for details]
  68.     public function supportsAttribute(string $attribute): bool
  69.     {
  70.         return in_array($attributeself::IS_GRANTED_CONSTANTStrue);
  71.     }
  73.     protected function supports(string $attribute$subject): bool
  74.     {
  75.         // if the attribute isn't one we support, return false
  76.         if (!in_array($attributeself::IS_GRANTED_CONSTANTS))
  77.         {
  78.             return false;
  79.         }
  81.         // Only vote on Devis and Mission objects inside this voter
  82.         if ($subject !== null && !($subject instanceof Devis || $subject instanceof Mission))
  83.         {
  84.             return false;
  85.         }
  87.         return true;
  88.     }
  90.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  91.     {
  92.         $user $token->getUser();
  94.         if (!$user instanceof Access)
  95.         {
  96.             // the user must be logged in; if not, deny access
  97.             return false;
  98.         }
  100.         // The user must have a function; if not deny access
  101.         $function $user->getFunction();
  102.         if ($function === null)        return false;
  104.         // Plan.io Task #3710 : Get current group
  105.         $currentGroup $user->getSocietyGroup();
  106.         if ($currentGroup === null)
  107.             return false;
  109.         $this->currentGroup $currentGroup;
  111.         // Module activated ?
  112.         if ($this->moduleTools->isInactiveByCode($currentGroupModule::MODULE_DEVIS_SIMULATION))
  113.         {
  114.             return false;
  115.         }
  117.         $devis null;
  118.         $mission null;
  120.         if ($subject instanceof Devis)
  121.         {
  122.             /** @var Devis $devis */
  123.             $devis $subject;
  125.             // Check current group affectation
  126.             if ($subject !== null)
  127.             {
  128.                 $subjectSociety $subject->getSociety();
  129.                 if ($subjectSociety === null)
  130.                     return false;
  131.                 $subjectGroup $subjectSociety->getGroup();
  132.                 if ($subjectGroup === null)
  133.                     return false;
  134.                 if (!$currentGroup->equals($subjectGroup))
  135.                     return false;
  136.             }
  137.         }
  138.         else
  139.         {
  140.             if ($subject instanceof Mission)
  141.             {
  142.                 /** @var Mission $mission */
  143.                 $mission $subject;
  144.             }
  145.         }
  147.         switch ($attribute)
  148.         {
  149.             case self::IS_ACTIVE:
  150.                 return true;
  152.             // This is different from the Devis, because we can create a simulation outside a mission
  153.             // So the mission parameter is optional
  154.             case self::ADD_SIMULATION:
  155.                 return $this->canAddSimulation($user$function$mission);
  157.             case self::CONVERT_SIMULATION:
  158.                 return $this->canConvertSimulation($user$function);
  160.             case self::DELETE_SIMULATION:
  161.                 return $this->canDeleteSimulation($devis$user$function);
  163.             // Listing / Viewing is based on adding for now
  164.             // Since simulations are not society based,
  165.             // the users adding them should also be able to view them
  166.             // Maybe later make a distinction on whether all users should see all simulations
  167.             // or some users should only see their own simulations
  168.             case self::LIST_SIMULATION:
  169.                 return $this->canAddSimulation($user$function);
  170.             case self::VIEW_SIMULATION:
  171.                 return $this->canAddSimulation($user$function);
  172.         }
  174.         throw new \LogicException('This code should not be reached!');
  175.     }
  177.     // $access is the user trying to load the resource
  178.     // $devis is the resource being loaded
  180.     // Check if the Society of the resource
  181.     // belongs to the societies of the $access
  182.     private function checkSociety(Devis $devisAccess $access)
  183.     {
  184.         // Get all the societies of the access
  185.         $societies $access->getSocieties();
  187.         // Get the Society of the Devis
  188.         $devisSociety $devis->getSociety();
  190.         if ($devisSociety === null)
  191.             return false;
  193.         $found false;
  194.         foreach ($societies as $society)
  195.         {
  196.             if ($society->getId() == $devisSociety->getId())
  197.             {
  198.                 $found true;
  199.                 break;
  200.             }
  201.         }
  202.         return $found;
  203.     }
  205.     // Check if the $access is the manager / author of the $devis
  206.     private function checkManager(Devis $devisAccess $access)
  207.     {
  208.         // Get manager
  209.         $manager $devis->getManager();
  210.         $author $devis->getAuthor();
  212.         if ($manager === null && $author === null)
  213.             return false;
  215.         if ($manager !== null)
  216.             if ($manager->getId() === $access->getId())
  217.                 return true;
  219.         if ($author !== null)
  220.             if ($author->getId() === $access->getId())
  221.                 return true;
  223.         return false;
  224.     }
  226.     // Check if the $access is the manager of the $devis
  227.     private function checkClientManager(Devis $devisAccess $access)
  228.     {
  229.         // Get Client
  230.         $client $devis->getReceiver();
  231.         if ($client === null)
  232.             return false;
  234.         if ($client->getIndividual() !== null)
  235.         {
  236.             // Only Individuals have managers
  237.             // Get manager
  238.             $manager $devis->getReceiver()->getIndividual()->getManager();
  239.             if ($manager === null)
  240.                 return false;
  242.             if ($manager->getId() === $access->getId())
  243.                 return true;
  244.         }
  246.         return false;
  247.     }
  249.     // Check if there is at least one task
  250.     // having this access as resource and this devis
  251.     private function checkTask(Devis $devisAccess $access)
  252.     {
  253.         $taskRep $this->em->getRepository(Task::class);
  255.         $resources $access->getPlanningResources();
  257.         foreach ($resources as $r)
  258.         {
  259.             $tasks $taskRep->findForDevisAndResource($devis$r);
  260.             if (count($tasks) > 0)
  261.                 return true;
  262.         }
  263.         return false;
  264.     }
  266.     private function canAddSimulation(Access $userAccessFunction $function$mission null)
  267.     {
  268.         // If the mission is shared and the author is the current group, deny adding devis
  269.         // When a mission is shared, the author cannot edit it
  270.         if ($mission !== null)
  271.         {
  272.             // Deny actions on archivedRefused objects
  273.             if ($mission->isArchivedRefused())
  274.             {
  275.                 return false;
  276.             }
  278.             if ($mission->isShared())
  279.             {
  280.                 if ($mission->isSharedBySocietyGroup($this->currentGroup))
  281.                 {
  282.                     return false;
  283.                 }
  284.             }
  285.         }
  287.         // Get Acl_Permission
  288.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_ADD_SIMULATION);
  289.         if ($aclPerm === null)        return false;
  291.         // Get Acl
  292.         $acl $this->aclRepository->findOneBy(array(
  293.             'function'        =>    $function,
  294.             'permission'    =>    $aclPerm
  295.         ));
  296.         if ($acl === null)        return false;
  298.         // Since only one acl type can exist
  299.         // we can return the result of the acl_permission
  300.         return $acl->getValue();
  301.     }
  303.     private function canConvertSimulation(Access $userAccessFunction $function)
  304.     {
  305.         // Converting simulations to devis, requires the devis module to be activated
  306.         // Module activated ?
  307.         if ($this->moduleTools->isInactiveByCode($this->currentGroupModule::MODULE_DEVIS))
  308.         {
  309.             return false;
  310.         }
  312.         // Get Acl_Permission
  313.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_CONVERT_SIMULATION);
  314.         if ($aclPerm === null)        return false;
  316.         // Get Acl
  317.         $acl $this->aclRepository->findOneBy(array(
  318.             'function'        =>    $function,
  319.             'permission'    =>    $aclPerm
  320.         ));
  321.         if ($acl === null)        return false;
  323.         // Since only one acl type can exist
  324.         // we can return the result of the acl_permission
  325.         return $acl->getValue();
  326.     }
  328.     private function canDeleteSimulation(Devis $devis nullAccess $userAccessFunction $function)
  329.     {
  330.         // Only allow deleteing simulations without a client [Why ?!]
  331.         if ($devis->isNotSimulation())
  332.             return false;
  334.         if ($devis->getReceiver() !== null)
  335.             return false;
  337.         // Get Acl_Permissions
  338.         $aclPerm $this->aclPermissionRepository->findOneByName(self::ACL_PERM_DELETE_SIMULATION);
  340.         // If all are null, exit
  341.         if ($aclPerm === null)
  342.             return false;
  344.         // Get First one
  345.         if ($aclPerm !== null)
  346.         {
  347.             $acl $this->aclRepository->findOneBy(array(
  348.                 'function'        =>    $function,
  349.                 'permission'    =>    $aclPerm
  350.             ));
  351.             if ($acl !== null)
  352.             {
  353.                 if ($acl->getValue())
  354.                 {
  355.                     // A single positive answer is enough
  356.                     return true;
  357.                 }
  358.             }
  359.         }
  360.         // If we are here, all hope is lost
  361.         return false;
  362.     }
  363. }