src/PaaBundle/Security/PaaVoter.php line 18

Open in your IDE?
  1. <?php
  3. // Classe prenant la décision d'accorder l'accès aux ressources de PAA
  4. // Via <ControllerObject>->get('security.authorization_checker')->isGranted('modiUsager', <idUsager>)
  5. // https://symfony.com/doc/3.4/components/security/authorization.html
  6. // https://symfony.com/doc/3.4/security/voters.html#security-voters-change-strategy
  8. namespace App\PaaBundle\Security;
  10. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  11. use Doctrine\ORM\EntityManagerInterface;
  12. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  13. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  14. use App\PaaBundle\Entity\users;
  15. // use App\PaaBundle\Component\Paa\Paa_Constantes;     // LG 20211222
  16. use App\PaaBundle\Component\Paa\Paa_Constantes_Sécurité;
  18. class PaaVoter extends Voter {
  20.     // these strings are just invented: you can use anything
  21.     const MENU 'menu';
  22.     const VOIR 'voir';
  23.     const MODIFIER 'modi';
  24.     const AJOUTER 'ajou';
  25.     const MENU_DONNEESDEBASE "DonnéesDeBase";
  26.     const MENU_AUTRESLISTES "AutresListes";
  27.     const MENU_SEMAINEREELLE "SemaineRéelle";
  28.     const MENU_SEMAINETYPE "SemaineType";
  29.     const MENU_EDITIONS "Editions";
  30.     const MENU_OUTILS "Outils";
  31.     const MENU_USERS "Users";
  32.     const MENU_SEMAINEREELLE_NONPLANNING "SemaineRéelle_NonPlanning";
  33.     const MENU_USERS_NONDECONNEXION "User_NonDeconnexion";
  34.     const MENU_BACKOFFICE "BackOffice";
  35.     // TRINH ajouter 20220418
  36.     const MENU_TRINH "TRINH";
  39.     /**
  40.      * @var AccessDecisionManagerInterface
  41.      */
  42.     private $decisionManager;
  43.     private $entityManager;
  45.     /**
  46.      * PaaVoter constructor.
  47.      *
  48.      * @param AccessDecisionManagerInterface $decisionManager
  49.      */
  50.     public function __construct(AccessDecisionManagerInterface $decisionManagerEntityManagerInterface $em) {
  51.         $this->decisionManager $decisionManager;
  52.         $this->entityManager $em;
  53.     }
  55.     protected function supports($attribute$item 0) {
  56.         // if the attribute isn't one we support, return false
  57.         if (!in_array(substr($attribute04), array(self::MENUself::VOIRself::MODIFIERself::AJOUTER)) 
  58.                         /*&& !in_array($attribute, array("IS_AUTHENTICATED_FULLY", "IS_AUTHENTICATED_REMEMBERED"))*/) {
  59.             return false;
  60.         }
  62.         return true;
  63.     }
  65.     protected function voteOnAttribute($attribute$item 0TokenInterface $token) {
  66.         $user $token->getUser();
  67.         if (!$user instanceof users) {
  68.             // the user must be logged in; if not, deny access
  69.             return false;
  70.         }
  72.         $lsTypeAccès substr($attribute04);  // self::VOIR ou self::MODIFIER
  73.         $lsTypeRessource substr($attribute4);  // "Usager", "Intervenant", ...
  75.         if ($lsTypeAccès == self::MENU) {
  76.             return $this->voteOnMenu($item$user$token);
  77.         } else {
  78.             return $this->voteOnDataAccess($lsTypeAccès$lsTypeRessource$item$user$token);
  79.         }
  81.         throw new \LogicException('This code should not be reached!');
  82.     }
  84.     // Déterminer si l'user en cours a droit au menu demandé
  85.     private function voteOnMenu($psMenu$poUserTokenInterface $token) {
  86.         switch ($psMenu) {
  87.             case self::MENU_USERS:
  88.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));
  90.             case self::MENU_DONNEESDEBASE:
  91.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));
  92.                             
  93.             case self::MENU_AUTRESLISTES:
  94.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));
  96.             case self::MENU_TRINH:
  97.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));        
  99.             case self::MENU_EDITIONS:
  100.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));
  101.                             
  102.             case self::MENU_OUTILS:
  103.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));
  105.             case self::MENU_SEMAINETYPE:
  106.                 return $this->decisionManager->decide($token, array('ROLE_CONCEPTEUR'));
  108.             case self::MENU_SEMAINEREELLE:
  109.                 return $this->decisionManager->decide($token, array('ROLE_ENSEIGNANT')) || $this->decisionManager->decide($token, array('ROLE_ETUDIANT'));
  111.              case self::MENU_SEMAINEREELLE_NONPLANNING:
  112.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN')) || $this->decisionManager->decide($token, array('ROLE_CONCEPTEUR'));
  113.                             
  114.             case self::MENU_USERS_NONDECONNEXION:
  115.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));
  117.             case self::MENU_BACKOFFICE:
  118.                 return $this->decisionManager->decide($token, array('ROLE_ADMIN'));
  120.             default:
  121.                 throw new \LogicException('Cas de menu non prévu : psMenu = $psMenu');
  122.         }
  123.     }
  125.     private function getDroitsCurrentUser($poUser) {
  126.                 if ($poUser->getctype_res() == 'I') {
  127.             // Intervenant : voir s'il a les droits
  128.             $liIntervenant $poUser->getiid_res();
  129. // $liIntervenant = 923456789 ;
  130. // $loIntervenant = $this->entityManager->getRepository("PaaBundle:intervenants")->find($liIntervenant)
  131.             if ($liIntervenant == null) {
  132.                 // Cet user n'a pas d'intervenant
  133. //                    echo $Err1 ;
  134.             } else if (($loIntervenant $this->entityManager->getRepository("PaaBundle:intervenants")->find($liIntervenant)) == null) {
  135.                 
  136.             } else if ($loIntervenant == null) {
  137.                 // Cet intervenant n'a pas été retrouvé
  138. //                    echo $Err2 ;
  139.             } else {
  140.                 return $loIntervenant->getIdroitsw();
  141.             }
  142.         }
  143.         return 0;
  144.     }
  146.     // Vérifie si l'un au moins des rôles demandés est possédé par l'user décrit dans le token
  147.     // Astuce car je ne sais pas changer le mode de décision de $this->decisionManager
  148.     // LG 20211223
  149.     private function décideAffirmative(TokenInterface $token$paRolesAutorisés) {
  150.         $lbDécision false ;
  151.         foreach ($paRolesAutorisés as $role) {
  152.             if ($this->decisionManager->decide($token, array($role))) {
  153.                 // Le décitionManager accepte ce rôle : c'est bon
  154.                 $lbDécision true ;
  155.             }
  156.         }
  157.         return $lbDécision ;
  158.     }
  160.     private function voteOnDataAccess($psTypeAccès$psTypeRessource$item$poUserTokenInterface $token) {
  162.         // ---------------------------------------------------------------------------------------
  163.         // Récursivité sur une liste d'items
  164.         if (Vartype($item) == "C") {
  165.             // On a fourni une liste d'items
  166.             // Rappeller cette fonction pour chaque item
  167.             $laItems explode(","$item);
  169.             foreach ($laItems as $lsItem) {
  170.                 $liItem intval($lsItem);
  171.                 if (!$lsItem) {
  172.                     // Item vide : RAS
  173.                 } else
  174.                 if (!$this->voteOnDataAccess($psTypeAccès$psTypeRessource$liItem$poUser$token)) {
  175.                     // Pas les droits sur cet item, pas la peine d'examiner les autres
  176.                     return false;
  177.                 }
  178.             }
  179.             // Si on arrive là, c'est que les droits sont OK
  180.             return true;
  181.         }
  182.         // Fin de récursivité sur une liste d'items
  183.         // ---------------------------------------------------------------------------------------
  185.         if (in_array($psTypeRessource, ['seances''seancesTrad''ModiHorairesSéance''EnlèveSéance']) && $item) {
  186.             // On cherche à voir, modifier ou déplacer une séance
  187. // // LG 20240328 début
  188. // Annulé car seule les séances créés par l'utilisateur en cours devraient être accessibles pour les AB du SG "divers" (en plus des séances qui le concernent lui) 
  189. //             if ($poUser->hasRole('ROLE_CONCEPTEUR')) {
  190. //                 // Concepteur de planning : droits sur toutes les séances
  191. //                 return true ;
  192. //             }
  193. // // LG 20240328 fin
  195.             $loSéancesRepository $this->entityManager->getRepository("PaaBundle:seances");
  196.             $loSéance $loSéancesRepository->find($item) ;
  197.             if ($loSéance && $loSéance->estSGABDivers()) {
  198.                 // Cette séance est du sous-groupe d'actibases "Divers"
  199.                 // Seul le participant lui-même peut voir ou modifier cette séance
  200.                 $loUser $token->getUser();
  201.                 if ($loUser->getiIdRes() && $loUser->getcTypeRes() == "I") {
  202.                     // L'utilisateur en cours est un intervanant
  203.                     // Il a le droit s'il est l'intervenant de cette séance
  204.                     return $loSéancesRepository->SéanceUtiliseRessource($item$loUser->getcTypeRes(), $loUser->getiIdRes()) ;
  205.                 } else {
  206.                     // L'utilisateur en cours n'est pas un intervanant
  207.                     return false ;
  208.                 }
  209.             }
  210.         }
  212.         // Simplification abusive à corriger par la suite
  213.         switch ($psTypeAccès) {
  214.             case self::VOIR:
  215.                 $lbDecision $this->décideAffirmative($token, array('ROLE_ADMIN''ROLE_ENSEIGNANT''ROLE_ETUDIANT')) ;
  216.                 return $lbDecision ;
  217.             case self::MODIFIER:
  218.             //return true;
  219.             case self::AJOUTER:
  220.             //return true;
  221.         }
  223. // LG 20210921 déac début : cause une récursivité infinie
  224. //// LG 20190830 début
  225. //        if (!$this->voteOnDataAccess(self::VOIR, $psTypeRessource, $item, $poUser, $token)) {
  226. //            // L'utilisateur en cours n'a même pas le droit de voir
  227. //            return false;
  228. //        }
  229. //// LG 20190830 fin
  230. // LG 20210921 déac fin
  231.         $lbAutorise $poUser->hasRole('ROLE_ADMIN');
  233.         if ($lbAutorise) return true;
  235. // LG 20221014 déplacé + haut début
  236. //         // ---------------------------------------------------------------------------------------
  237. //         // Récursivité sur une liste d'items
  238. //         if (Vartype($item) == "C") {
  239. //             // On a fourni une liste d'items
  240. //             // Rappeller cette fonction pour chaque item
  241. //             $laItems = explode(",", $item);
  243. //             foreach ($laItems as $lsItem) {
  244. //                 $liItem = intval($lsItem);
  245. //                 if (!$lsItem) {
  246. //                     // Item vide : RAS
  247. //                 } else
  248. //                 if (!$this->voteOnDataAccess($psTypeAccès, $psTypeRessource, $liItem, $poUser, $token)) {
  249. //                     // Pas les droits sur cet item, pas la peine d'examiner les autres
  250. //                     return false;
  251. //                 }
  252. //             }
  253. //             // Si on arrive là, c'est que les droits sont OK
  254. //             return true;
  255. //         }
  256. //         // Fin de récursivité sur une liste d'items
  257. //         // ---------------------------------------------------------------------------------------
  258. // LG 20221014 déplacé + haut fin
  260.         $lbAutorise false;
  261.         if (!$lbAutorise && $psTypeRessource == 'users') {
  262.             // L'utilisateur actuel n'a pas les droits, mais peut-être s'agit-il de sa propre fiche ?
  263.             $loUser $token->getUser();
  264.             if ($loUser) {
  265.                 $lbAutorise = (strval($loUser->getid()) === strval($item));
  266.                 if ($lbAutorise) {
  267.                     $peutchangerprofil $loUser->isLPeutChangerProfil();
  268.                     $lbAutorise false;
  269.                 }
  270.             }
  271.         } else if (false) {
  272.             // Pas d'accès en écriture pour les étudiants
  273.         } else {
  274.             // On doit se baser sur les droits de l'user courant
  275.             $loUser $token->getUser();
  276.             $liId_User $loUser->getid();
  277.             $liDroits $this->getDroitsCurrentUser($loUser);
  278.             if ($liDroits == Paa_Constantes_Sécurité::eiDroitsW_PredefAdministrateur) {
  279.                 return true;
  280.             }
  281.             if ($liDroits == Paa_Constantes_Sécurité::eiDroitsW_PredefAucun) {
  282.             }
  284.                 if ($poUser->hasRole('ROLE_ENSEIGNANT_POSEDIVERS')
  285.                         && !$poUser->hasRole('ROLE_CONCEPTEUR')
  286.                         ) {
  287.                     // L'utilisateur en cours n'est pas concepteur, as a le droit de poser des séances "Divers" pour lui-même
  288.                     if (in_array($psTypeRessource, ['PoseSéance'])) {
  289.                         // L'utilisateur en cours cherche à poser une séance
  290.                         $loActisRepository $this->entityManager->getRepository("PaaBundle:activites");
  291.                         $loActi $loActisRepository->find($item) ;
  292.                         // CB 20221010 old if ($loActi && $loActi->estABDivers()) {
  293.                         if ($loActi && $loActi->estSGABDivers()) {
  294.                             // La séance que souhaite poser cet intervenant est une séance de l'AB "Divers"
  295.                             return true ;
  296.                         } else {
  297.                             // La séance que souhaite poser cet intervenant n'est pas une séance de l'AB "Divers"
  298.                             return false ;
  299.                         }
  301.                     }
  302.                     if (in_array($psTypeRessource, ['seances''seancesTrad''ModiHorairesSéance''EnlèveSéance'])) {
  303.                         // L'enseignant cherche à déplacer une séance
  304.                         $loSéancesRepository $this->entityManager->getRepository("PaaBundle:seances");
  305.                         $loSéance $loSéancesRepository->find($item) ;
  306. // LG 20221012 old                        if ($loSéance && $loSéance->estABDivers()) {
  307.                         if ($loSéance && $loSéance->estSGABDivers()) {
  308.                             // S'assurer que les droits pris en compte contiennent le bit "SéancesQuiConcernentIntervenant"
  309.                             $liDroits |= Paa_Constantes_Sécurité::eiDroits_SéancesQuiConcernentIntervenant ;
  310.                         } else {
  311.                             // La séance que souhaite poser cet intervenant n'est pas une séance de l'AB "Divers"
  312.                             return false ;
  313.                         }
  314.                     }
  315.                 }
  317.             // Cas de figure traités selon le modèle de sécurité.prg, fonction "Autorise"
  318.             // Transformation de certains cas
  319.             if (in_array($psTypeRessource, ['PoseSéance''EnlèveSéance''ModifieSéance''ModiHorairesSéance''SesPropresParticipations''seancesTrad'])) {
  320.                 // Il faut tester si c'est une séance d'absence ou non
  321.                 $loSéancesRepository $this->entityManager->getRepository("PaaBundle:seances");
  322.                 $liActiBase null;
  323.                 If (Upper($psTypeRessource) === Upper("PoseSéance")) {
  324. // echo $err1 ;
  325.                     // On passe l'Id d'activité
  326.                     // Déterminer si c'est une absence et en profiter pour récupérer l'activité de base
  327.                     $liActi $item;
  328.                     $liSeance null;
  329.                     $lbEstAbsence $loSéancesRepository->EstAbsence($liSeance$liActi$liActiBase);
  330.                 } else {
  331.                     // On passe l'Id de séance
  332.                     // Déterminer si c'est une absence et en profiter pour récupérer l'activité de base
  333.                     $liActi null;
  334.                     $liSeance $item;
  335.                     $lbEstAbsence $loSéancesRepository->EstAbsence($liSeance$liActi$liActiBase);
  336.                 }
  337.                 if ($lbEstAbsence) { // C'est une absence
  338.                     $psTypeRessource .= "Absence";
  339.                 } else {
  340.                     $lbEstPrésence $loSéancesRepository->EstPrésence(nullnull$liActiBase);
  341.                     If ($lbEstPrésence) { // C'est une présence
  342.                         $psTypeRessource .= "Présence";
  343.                     }
  344.                 }
  345.             }
  346.             // Modifier une séance
  347.             if (in_array($psTypeRessource, ['EnlèveSéance''ModiHorairesSéance''ChangeActivitéDeSéance''SesPropresParticipations''seances''seancesTrad'])) {
  348.                 // désactivé car absent de Sécurité.PRG if ($liDroits & Paa_Constantes_Sécurité::eiDroits_Séances > 0) return true ;
  349. // echo $err2 ;
  350. // LG 20220926 début
  351.                 if ($poUser->hasRole('ROLE_CONCEPTEUR')) {
  352.                     return true;
  353.                 }
  354. // LG 20220926 fin
  355.                 if ($liDroits Paa_Constantes_Sécurité::eiDroits_ModifSéanceActiCrééeParAutre 0)
  356.                     return true;
  357.                 $loSéancesRepository $this->entityManager->getRepository("PaaBundle:seances");
  358. // LG 20220110 old                if ($loSéancesRepository->RtvUserCréateur($item) == $liId_User) {
  359.                 if ($loSéancesRepository->RtvUserCréateur($item) == $loUser->getiIdRes()) {
  360.                     // L'utilisateur en cours est le créateur de la séance
  361.                     // Il peut la modifier
  362.                     return true;
  363.                 }
  364.                 If ($liDroits Paa_Constantes_Sécurité::eiDroits_SéancesQuiConcernentIntervenant
  365.                         And $item
  366.                         And $loSéancesRepository->SéanceUtiliseRessource($item$loUser->getcTypeRes(), $loUser->getiIdRes())
  367.                         And !$loSéancesRepository->EstAbsence($item)) {
  368.                     // Droits sur ses propres séances et cette séance le concerne
  369.                     return true;
  370.                 }
  371. // LG : Obsolète ? En tout cas, je n'ai pas fini de traduire ce code depuis VFP
  372. //                If ($liDroits & Paa_Constantes_Sécurité::eiDroits_SesPropresParticipations > 0
  373. //                                        And $item
  374. //                                        And Evl($pvVar2, "") = "I"
  375. //                                        And Evl($pvVar3, 0) = $liId_User
  376. //                                        And $loSéancesRepository->SéanceUtiliseRessource($item, "I", $liId_User)
  377. //                                        And ($pvVar4    //&&  pvVar4 : .T. si c'est pour l'ajustement d'une participation à l'intérieur d'une séance 
  378. //                                            Or $loSéancesRepository->EstAbsence($item) or $loSéancesRepository->EstPrésence($item)
  379. //                                            Or $loSéancesRepository->RtvUserCréateur("tSeances", $item) = $liId_User)) {
  380. //                    return true ;
  381. //                }
  382.             } else if (in_array($psTypeRessource, ['GetId_Activité''PoseSéance'])) {
  383. // LG 20220926 début
  384.                 if ($poUser->hasRole('ROLE_CONCEPTEUR')) {
  385.                     return true;
  386.                 } else
  387. // LG 20220926 fin
  388.                 If ($liDroits Paa_Constantes_Sécurité::eiDroits_Séances 0) {
  389.                     return true;
  390.                 } Else If ($liDroits Paa_Constantes_Sécurité::eiDroits_SesPropresParticipations 0
  391.                         And $item
  392. // LG 20220110 old                        And $loSéancesRepository->SéanceUtiliseRessource($item, "I", $liId_User)) {
  393.                         And $loSéancesRepository->SéanceUtiliseRessource($item$loUser->getcTypeRes(), $loUser->getiIdRes())) {
  394.                     // Droits sur ses propres participations et cette séance le concerne
  395.                     return true;
  396.                 }
  397.             } else {
  398.                 // Cas non prévu
  399.             }
  400.         }
  402.         return $lbAutorise;
  403.     }
  405. }