vendor/easycorp/easyadmin-bundle/src/Security/SecurityVoter.php line 18

Open in your IDE?
  1. <?php
  3. namespace EasyCorp\Bundle\EasyAdminBundle\Security;
  5. use EasyCorp\Bundle\EasyAdminBundle\Contracts\Provider\AdminContextProviderInterface;
  6. use EasyCorp\Bundle\EasyAdminBundle\Dto\ActionDto;
  7. use EasyCorp\Bundle\EasyAdminBundle\Dto\CrudDto;
  8. use EasyCorp\Bundle\EasyAdminBundle\Dto\EntityDto;
  9. use EasyCorp\Bundle\EasyAdminBundle\Dto\FieldDto;
  10. use EasyCorp\Bundle\EasyAdminBundle\Dto\MenuItemDto;
  11. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  12. use Symfony\Component\Security\Core\Authorization\AuthorizationCheckerInterface;
  13. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  15. /*
  16.  * @author Javier Eguiluz <[email protected]>
  17.  */
  18. final class SecurityVoter extends Voter
  19. {
  20.     public function __construct(
  21.         private readonly AuthorizationCheckerInterface $authorizationChecker,
  22.         private readonly AdminContextProviderInterface $adminContextProvider,
  23.     ) {
  24.     }
  26.     protected function supports(string $permissionNamemixed $subject): bool
  27.     {
  28.         return $this->supportsAttribute($permissionName);
  29.     }
  31.     public function supportsAttribute(string $permissionName): bool
  32.     {
  33.         return Permission::exists($permissionName);
  34.     }
  36.     protected function voteOnAttribute($permissionName$subjectTokenInterface $token): bool
  37.     {
  38.         if (Permission::EA_VIEW_MENU_ITEM === $permissionName) {
  39.             return $this->voteOnViewMenuItemPermission($subject);
  40.         }
  42.         if (Permission::EA_EXECUTE_ACTION === $permissionName) {
  43.             return $this->voteOnExecuteActionPermission($this->adminContextProvider->getContext()->getCrud(), $subject['action'] ?? null$subject['entity'] ?? null$subject['entityFqcn'] ?? null);
  44.         }
  46.         if (Permission::EA_VIEW_FIELD === $permissionName) {
  47.             return $this->voteOnViewPropertyPermission($subject);
  48.         }
  50.         if (Permission::EA_ACCESS_ENTITY === $permissionName) {
  51.             return $this->voteOnViewEntityPermission($subject);
  52.         }
  54.         if (Permission::EA_EXIT_IMPERSONATION === $permissionName) {
  55.             return $this->voteOnExitImpersonationPermission();
  56.         }
  58.         return true;
  59.     }
  61.     private function voteOnViewMenuItemPermission(MenuItemDto $menuItemDto): bool
  62.     {
  63.         // users can see the menu item if they have the permission required by the menu item
  64.         return $this->authorizationChecker->isGranted($menuItemDto->getPermission(), $menuItemDto);
  65.     }
  67.     private function voteOnExecuteActionPermission(CrudDto $crudDtoActionDto|string $actionNameOrDto, ?EntityDto $entityDto, ?string $entityFqcn): bool
  68.     {
  69.         // users can run the Crud action if:
  70.         // * they have the required permission to execute the action on the given entity instance
  71.         // * the action is not disabled
  73.         $actionName \is_string($actionNameOrDto) ? $actionNameOrDto $actionNameOrDto->getName();
  75.         $actionPermission $crudDto->getActionsConfig()->getActionPermissions()[$actionName] ?? null;
  76.         $disabledActionNames $crudDto->getActionsConfig()->getDisabledActions();
  78.         $subject $entityDto?->getInstance() ?? $entityFqcn;
  80.         return !\in_array($actionName$disabledActionNamestrue) && $this->authorizationChecker->isGranted($actionPermission$subject);
  81.     }
  83.     private function voteOnViewPropertyPermission(FieldDto $field): bool
  84.     {
  85.         // users can see the field if they have the permission required by the field
  86.         return $this->authorizationChecker->isGranted($field->getPermission(), $field);
  87.     }
  89.     private function voteOnViewEntityPermission(EntityDto $entityDto): bool
  90.     {
  91.         // users can see the entity if they have the required permission on the specific entity instance
  92.         return $this->authorizationChecker->isGranted($entityDto->getPermission(), $entityDto->getInstance());
  93.     }
  95.     private function voteOnExitImpersonationPermission(): bool
  96.     {
  97.         // users can exit impersonation if they are currently impersonating another user.
  98.         // In Symfony, that means that current user has the special impersonator permission
  99.         if (\defined('Symfony\Component\Security\Core\Authorization\Voter\AuthenticatedVoter::IS_IMPERSONATOR')) {
  100.             $impersonatorPermission 'IS_IMPERSONATOR';
  101.         } else {
  102.             $impersonatorPermission 'ROLE_PREVIOUS_ADMIN';
  103.         }
  105.         return $this->authorizationChecker->isGranted($impersonatorPermission);
  106.     }
  107. }