src/Security/Voters/AttachmentVoter.php line 20

Open in your IDE?
  1. <?php
  4. namespace App\Security\Voters;
  7. use App\Entity\Allegato;
  8. use App\Entity\CPSUser;
  9. use App\Entity\OperatoreUser;
  10. use App\Entity\Pratica;
  11. use App\Entity\RichiestaIntegrazione;
  12. use App\Entity\RispostaOperatore;
  13. use App\Entity\Servizio;
  14. use App\Entity\User;
  15. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  16. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  17. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  18. use Symfony\Component\Security\Core\Security;
  20. class AttachmentVoter extends Voter
  21. {
  23.   const DOWNLOAD 'download';
  24.   const EDIT 'edit';
  25.   const UPLOAD 'upload';
  26.   const DELETE 'delete';
  29.   /** @var Security  */
  30.   private $security;
  32.   /** @var SessionInterface */
  33.   private $session;
  35.   private $hashValidity;
  37.   /**
  38.    * AttachmentVoter constructor.
  39.    * @param Security $security
  40.    * @param SessionInterface $session
  41.    * @param $hashValidity
  42.    */
  43.   public function __construct(Security $securitySessionInterface $session$hashValidity)
  44.   {
  45.     $this->security $security;
  46.     $this->session $session;
  47.     $this->hashValidity $hashValidity;
  48.   }
  50.   /**
  51.    * @param string $attribute
  52.    * @param mixed $subject
  53.    * @return bool
  54.    */
  55.   protected function supports($attribute$subject)
  56.   {
  57.     if (!in_array($attribute, [
  58.       self::DOWNLOAD,
  59.       self::EDIT,
  60.       self::UPLOAD,
  61.       self::DELETE
  62.     ])) {
  63.       return false;
  64.     }
  66.     if ($subject && !$subject instanceof Allegato) {
  67.       return false;
  68.     }
  70.     return true;
  71.   }
  73.   protected function voteOnAttribute($attribute$subjectTokenInterface $token)
  74.   {
  75.     $user $token->getUser();
  77.     if (!$user instanceof User) {
  78.       // the user must be logged in; if not, deny access
  79.       return false;
  80.     }
  82.     // you know $subject is a Pratica object, thanks to `supports()`
  83.     /** @var Allegato $attachment */
  84.     $attachment $subject;
  86.     switch ($attribute) {
  87.       case self::UPLOAD:
  88.       case self::EDIT:
  89.         return $this->canEdit($attachment$user);
  90.       case self::DOWNLOAD:
  91.         return $this->canDownload($attachment$user);
  92.       case self::DELETE:
  93.         return $this->canDelete($attachment$user);
  95.     }
  97.     throw new \LogicException('This code should not be reached!');
  98.   }
  100.   /**
  101.    * @param Allegato $attachment
  102.    * @param User $user
  103.    * @return bool
  104.    */
  105.   private function canDownload(Allegato $attachmentUser $user)
  106.   {
  107.     if ($this->security->isGranted('ROLE_ADMIN')) {
  108.       return true;
  109.     }
  111.     if ($this->security->isGranted('ROLE_OPERATORE')) {
  112.       foreach ($attachment->getPratiche() as $pratica) {
  113.         $isOperatoreEnabled in_array($pratica->getServizio()->getId(), $user->getServiziAbilitati()->toArray());
  114.         if ($pratica->getOperatore() === $user || $isOperatoreEnabled) {
  115.           return true;
  116.         }
  117.       }
  119.       if ($attachment instanceof RichiestaIntegrazione) {
  120.         $pratica $attachment->getPratica();
  121.         $isOperatoreEnabled in_array($pratica->getServizio()->getId(), $user->getServiziAbilitati()->toArray());
  122.         if ($pratica->getOperatore() === $user || $isOperatoreEnabled) {
  123.           return true;
  124.         }
  125.       }
  127.       // Fixme: permetto sempre il download della risposta da parte degli operatori. Da sistemare una volta riorganizzati gli allegati
  128.       if ($attachment instanceof RispostaOperatore) {
  129.         return true;
  130.       }
  132.     }
  134.     if ($attachment->getOwner() === $user) {
  135.       return true;
  136.     }
  138.     $canDownload false;
  139.     $pratica $attachment->getPratiche()->first();
  140.     if ($pratica instanceof Pratica) {
  141.       if ($user instanceof CPSUser) {
  142.         $relatedCFs $pratica->getRelatedCFs();
  143.         $canDownload = (is_array($relatedCFs) && in_array($user->getCodiceFiscale(), $relatedCFs ) || $pratica->getUser() == $user);
  144.       } elseif ($this->session->isStarted() && $this->session->has(Pratica::HASH_SESSION_KEY)) {
  145.         $canDownload $pratica->isValidHash($this->session->get(Pratica::HASH_SESSION_KEY), $this->hashValidity);
  146.       }
  147.     }
  149.     return $canDownload;
  151.   }
  153.   /**
  154.    * @param Allegato $attachment
  155.    * @param User $user
  156.    * @return bool
  157.    */
  158.   private function canEdit(Allegato $attachmentUser $user)
  159.   {
  160.     if ($this->security->isGranted('ROLE_ADMIN')) {
  161.       return true;
  162.     }
  164.     if ($this->security->isGranted('ROLE_OPERATORE')) {
  165.       return true;
  166.     }
  168.     if ($attachment->getOwner() === $user) {
  169.       return true;
  170.     }
  172.     if ($this->session->isStarted() && $attachment->getHash() === hash('sha256'$this->session->getId())) {
  173.       return true;
  174.     }
  176.     return false;
  177.   }
  179.   /**
  180.    * @param Allegato $attachment
  181.    * @param User $user
  182.    * @return bool
  183.    */
  184.   private function canDelete(Allegato $attachmentUser $user)
  185.   {
  187.     if ($attachment->getOwner() === $user) {
  188.       return true;
  189.     }
  191.     if ($this->session->isStarted() && $attachment->getHash() === hash('sha256'$this->session->getId())) {
  192.       return true;
  193.     }
  195.     return false;
  196.   }
  197. }