vendor/easycorp/easyadmin-bundle/src/Security/SecurityVoter.php line 21

Open in your IDE?
  1. <?php
  3. namespace EasyCorp\Bundle\EasyAdminBundle\Security;
  5. use EasyCorp\Bundle\EasyAdminBundle\Config\Action;
  6. use EasyCorp\Bundle\EasyAdminBundle\Dto\ActionDto;
  7. use EasyCorp\Bundle\EasyAdminBundle\Dto\CrudDto;
  8. use EasyCorp\Bundle\EasyAdminBundle\Dto\EntityDto;
  9. use EasyCorp\Bundle\EasyAdminBundle\Dto\FieldDto;
  10. use EasyCorp\Bundle\EasyAdminBundle\Dto\MenuItemDto;
  11. use EasyCorp\Bundle\EasyAdminBundle\Provider\AdminContextProvider;
  12. use Symfony\Component\HttpKernel\Kernel;
  13. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  14. use Symfony\Component\Security\Core\Authorization\AuthorizationCheckerInterface;
  15. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  17. /*
  18.  * @author Javier Eguiluz <javier.eguiluz@gmail.com>
  19.  */
  20. if (Kernel::MAJOR_VERSION >= 6) {
  21.     final class SecurityVoter extends Voter
  22.     {
  23.         private $authorizationChecker;
  24.         private $adminContextProvider;
  26.         public function __construct(AuthorizationCheckerInterface $authorizationCheckerAdminContextProvider $adminContextProvider)
  27.         {
  28.             $this->authorizationChecker $authorizationChecker;
  29.             $this->adminContextProvider $adminContextProvider;
  30.         }
  32.         protected function supports(string $permissionNamemixed $subject): bool
  33.         {
  34.             return Permission::exists($permissionName);
  35.         }
  37.         protected function voteOnAttribute($permissionName$subjectTokenInterface $token): bool
  38.         {
  39.             if (Permission::EA_VIEW_MENU_ITEM === $permissionName) {
  40.                 return $this->voteOnViewMenuItemPermission($subject);
  41.             }
  43.             if (Permission::EA_EXECUTE_ACTION === $permissionName) {
  44.                 return $this->voteOnExecuteActionPermission($this->adminContextProvider->getContext()->getCrud(), $subject['action'] ?? null$subject['entity'] ?? null);
  45.             }
  47.             if (Permission::EA_VIEW_FIELD === $permissionName) {
  48.                 return $this->voteOnViewPropertyPermission($subject);
  49.             }
  51.             if (Permission::EA_ACCESS_ENTITY === $permissionName) {
  52.                 return $this->voteOnViewEntityPermission($subject);
  53.             }
  55.             if (Permission::EA_EXIT_IMPERSONATION === $permissionName) {
  56.                 return $this->voteOnExitImpersonationPermission();
  57.             }
  59.             return true;
  60.         }
  62.         private function voteOnViewMenuItemPermission(MenuItemDto $menuItemDto): bool
  63.         {
  64.             // users can see the menu item if they have the permission required by the menu item
  65.             return $this->authorizationChecker->isGranted($menuItemDto->getPermission(), $menuItemDto);
  66.         }
  68.         /**
  69.          * @param string|ActionDto $actionNameOrDto
  70.          */
  71.         private function voteOnExecuteActionPermission(CrudDto $crudDto$actionNameOrDto, ?EntityDto $entityDto): bool
  72.         {
  73.             // users can run the Crud action if:
  74.             // * they have the required permission to execute the action on the given entity instance
  75.             // * the action is not disabled
  77.             if (!\is_string($actionNameOrDto) && !($actionNameOrDto instanceof ActionDto)) {
  78.                 throw new \RuntimeException(sprintf('When checking the "%s" permission with the isGranted() method, the value of the "action" parameter passed inside the voter $subject must be a string with the action name or a "%s" object.'Permission::EA_EXECUTE_ACTIONActionDto::class));
  79.             }
  80.             $actionName \is_string($actionNameOrDto) ? $actionNameOrDto $actionNameOrDto->getName();
  82.             $actionPermission $crudDto->getActionsConfig()->getActionPermissions()[$actionName] ?? null;
  83.             $disabledActionNames $crudDto->getActionsConfig()->getDisabledActions();
  85.             $subject null === $entityDto null $entityDto->getInstance();
  87.             return $this->authorizationChecker->isGranted($actionPermission$subject) && !\in_array($actionName$disabledActionNamestrue);
  88.         }
  90.         private function voteOnViewPropertyPermission(FieldDto $field): bool
  91.         {
  92.             // users can see the field if they have the permission required by the field
  93.             return $this->authorizationChecker->isGranted($field->getPermission(), $field);
  94.         }
  96.         private function voteOnViewEntityPermission(EntityDto $entityDto): bool
  97.         {
  98.             // users can see the entity if they have the required permission on the specific entity instance
  99.             return $this->authorizationChecker->isGranted($entityDto->getPermission(), $entityDto->getInstance());
  100.         }
  102.         private function voteOnExitImpersonationPermission(): bool
  103.         {
  104.             // users can exit impersonation if they are currently impersonating another user.
  105.             // In Symfony, that means that current user has the special impersonator permission
  106.             if (\defined('Symfony\Component\Security\Core\Authorization\Voter\AuthenticatedVoter::IS_IMPERSONATOR')) {
  107.                 $impersonatorPermission 'IS_IMPERSONATOR';
  108.             } else {
  109.                 $impersonatorPermission 'ROLE_PREVIOUS_ADMIN';
  110.             }
  112.             return $this->authorizationChecker->isGranted($impersonatorPermission);
  113.         }
  114.     }
  115. } else {
  116.     final class SecurityVoter extends Voter
  117.     {
  118.         private $authorizationChecker;
  119.         private $adminContextProvider;
  121.         public function __construct(AuthorizationCheckerInterface $authorizationCheckerAdminContextProvider $adminContextProvider)
  122.         {
  123.             $this->authorizationChecker $authorizationChecker;
  124.             $this->adminContextProvider $adminContextProvider;
  125.         }
  127.         protected function supports($permissionName$subject): bool
  128.         {
  129.             return Permission::exists($permissionName);
  130.         }
  132.         protected function voteOnAttribute($permissionName$subjectTokenInterface $token): bool
  133.         {
  134.             if (Permission::EA_VIEW_MENU_ITEM === $permissionName) {
  135.                 return $this->voteOnViewMenuItemPermission($subject);
  136.             }
  138.             if (Permission::EA_EXECUTE_ACTION === $permissionName) {
  139.                 return $this->voteOnExecuteActionPermission($this->adminContextProvider->getContext()->getCrud(), $subject['action'] ?? null$subject['entity'] ?? null);
  140.             }
  142.             if (Permission::EA_VIEW_FIELD === $permissionName) {
  143.                 return $this->voteOnViewPropertyPermission($subject);
  144.             }
  146.             if (Permission::EA_ACCESS_ENTITY === $permissionName) {
  147.                 return $this->voteOnViewEntityPermission($subject);
  148.             }
  150.             if (Permission::EA_EXIT_IMPERSONATION === $permissionName) {
  151.                 return $this->voteOnExitImpersonationPermission();
  152.             }
  154.             return true;
  155.         }
  157.         private function voteOnViewMenuItemPermission(MenuItemDto $menuItemDto): bool
  158.         {
  159.             // users can see the menu item if they have the permission required by the menu item
  160.             return $this->authorizationChecker->isGranted($menuItemDto->getPermission(), $menuItemDto);
  161.         }
  163.         /**
  164.          * @param string|ActionDto $actionNameOrDto
  165.          */
  166.         private function voteOnExecuteActionPermission(CrudDto $crudDto$actionNameOrDto, ?EntityDto $entityDto): bool
  167.         {
  168.             // users can run the Crud action if:
  169.             // * they have the required permission to execute the action on the given entity instance
  170.             // * the action is not disabled
  172.             if (!\is_string($actionNameOrDto) && !($actionNameOrDto instanceof ActionDto)) {
  173.                 throw new \RuntimeException(sprintf('When checking the "%s" permission with the isGranted() method, the value of the "action" parameter passed inside the voter $subject must be a string with the action name or a "%s" object.'Permission::EA_EXECUTE_ACTIONActionDto::class));
  174.             }
  175.             $actionName \is_string($actionNameOrDto) ? $actionNameOrDto $actionNameOrDto->getName();
  177.             $actionPermission $crudDto->getActionsConfig()->getActionPermissions()[$actionName] ?? null;
  178.             $disabledActionNames $crudDto->getActionsConfig()->getDisabledActions();
  180.             $subject null === $entityDto null $entityDto->getInstance();
  182.             return $this->authorizationChecker->isGranted($actionPermission$subject) && !\in_array($actionName$disabledActionNamestrue);
  183.         }
  185.         private function voteOnViewPropertyPermission(FieldDto $field): bool
  186.         {
  187.             // users can see the field if they have the permission required by the field
  188.             return $this->authorizationChecker->isGranted($field->getPermission(), $field);
  189.         }
  191.         private function voteOnViewEntityPermission(EntityDto $entityDto): bool
  192.         {
  193.             // users can see the entity if they have the required permission on the specific entity instance
  194.             return $this->authorizationChecker->isGranted($entityDto->getPermission(), $entityDto->getInstance());
  195.         }
  197.         private function voteOnExitImpersonationPermission(): bool
  198.         {
  199.             // users can exit impersonation if they are currently impersonating another user.
  200.             // In Symfony, that means that current user has the special impersonator permission
  201.             if (\defined('Symfony\Component\Security\Core\Authorization\Voter\AuthenticatedVoter::IS_IMPERSONATOR')) {
  202.                 $impersonatorPermission 'IS_IMPERSONATOR';
  203.             } else {
  204.                 $impersonatorPermission 'ROLE_PREVIOUS_ADMIN';
  205.             }
  207.             return $this->authorizationChecker->isGranted($impersonatorPermission);
  208.         }
  209.     }
  210. }