src/Security/UserVoter.php line 10

Open in your IDE?
  1. <?php
  3. namespace App\Security;
  5. use App\Entity\ApiUser;
  6. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  7. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  8. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  10. class UserVoter extends Voter
  11. {
  12.     // these strings are just invented: you can use anything
  13.     const VIEW 'view';
  14.     const EDIT 'edit';
  16.     private $decisionManager;
  18.     /**
  19.      * UserVoter constructor.
  20.      * @param AccessDecisionManagerInterface $decisionManager
  21.      */
  22.     public function __construct(AccessDecisionManagerInterface $decisionManager)
  23.     {
  24.         $this->decisionManager $decisionManager;
  25.     }
  27.     /**
  28.      * @param string $attribute
  29.      * @param mixed $subject
  30.      * @return bool
  31.      */
  32.     protected function supports($attribute$subject)
  33.     {
  34.         // if the attribute isn't one we support, return false
  35.         if (!in_array(
  36.             $attribute,
  37.             array(
  38.                 self::VIEW,
  39.                 self::EDIT,
  40.             )
  41.         )) {
  42.             return false;
  43.         }
  45.         // only vote on User objects inside this voter
  46.         if (!$subject instanceof ApiUser) {
  47.             return false;
  48.         }
  50.         return true;
  51.     }
  53.     /**
  54.      * @param string $attribute
  55.      * @param mixed $subject
  56.      * @param TokenInterface $token
  57.      * @return bool
  58.      */
  59.     protected function voteOnAttribute($attribute$subjectTokenInterface $token)
  60.     {
  61.         $user $token->getUser();
  63.         if (!$user instanceof ApiUser) {
  64.             // the user must be logged in; if not, deny access
  65.             return false;
  66.         }
  68.         // ROLE_SUPER_ADMIN can do anything! The power!
  69.         if ($this->decisionManager->decide(
  70.             $token,
  71.             array('ROLE_ADMIN')
  72.         )) {
  73.             return true;
  74.         }
  76.         // you know $subject is a User object, thanks to supports
  77.         /** @var ApiUser $userSubject */
  78.         $userSubject $subject;
  80.         switch ($attribute) {
  81.             case self::VIEW:
  82.                 return $this->canView(
  83.                     $userSubject,
  84.                     $user
  85.                 );
  86.             case self::EDIT:
  87.                 return $this->canEdit(
  88.                     $userSubject,
  89.                     $user
  90.                 );
  91.         }
  93.         throw new \LogicException('This code should not be reached!');
  94.     }
  96.     /**
  97.      * @param ApiUser $userSubject
  98.      * @param ApiUser $user
  99.      * @return bool
  100.      */
  101.     private function canView(ApiUser $userSubjectApiUser $user)
  102.     {
  103.         // if they can edit, they can view
  104.         if ($this->canEdit(
  105.             $userSubject,
  106.             $user
  107.         )) {
  108.             return true;
  109.         }
  111.         // the User object could have, for example, a method isPrivate()
  112.         // that checks a boolean $private property
  113.         return $user === $userSubject;
  114.     }
  116.     /**
  117.      * @param ApiUser $userSubject
  118.      * @param ApiUser $user
  119.      * @return bool
  120.      */
  121.     private function canEdit(ApiUser $userSubjectApiUser $user)
  122.     {
  123.         // this assumes that the data object has a getOwner() method
  124.         // to get the entity of the user who owns this data object
  125.         return $user === $userSubject;
  126.     }
  127. }