src/Security/Voter/CourseSecurityVoter.php line 17

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter;
  5. use App\Entity\Course;
  6. use App\Repository\OAuth\ClientRepository;
  7. use App\User\Entity\Client;
  8. use App\User\Entity\User;
  9. use League\Bundle\OAuth2ServerBundle\Security\User\NullUser;
  10. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  11. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  13. /**
  14.  * Security voter to control access to Course entities based on client ownership.
  15.  * Note: This is separate from CourseVoter which handles Provider access.
  16.  */
  17. class CourseSecurityVoter extends Voter
  18. {
  19.     public const VIEW 'view';
  20.     public const EDIT 'edit';
  21.     public const DELETE 'delete';
  23.     private ClientRepository $clientRepository;
  25.     public function __construct(ClientRepository $clientRepository)
  26.     {
  27.         $this->clientRepository $clientRepository;
  28.     }
  30.     protected function supports(string $attribute$subject): bool
  31.     {
  32.         return in_array($attribute, [self::VIEWself::EDITself::DELETE], true)
  33.             && $subject instanceof Course;
  34.     }
  36.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  37.     {
  38.         $user $token->getUser();
  40.         // Determine the client based on user type
  41.         $userClient null;
  42.         
  43.         if ($user instanceof User) {
  44.             $userClient $user->getClient();
  45.             
  46.             // ROLE_SUPER_USER can access everything
  47.             if (in_array('ROLE_SUPER_USER'$user->getRoles(), true)) {
  48.                 return true;
  49.             }
  50.         } elseif ($user instanceof NullUser) {
  51.             // OAuth2 client credentials flow - get client from token
  52.             $oauthClientId $token->getAttribute('oauth_client_id');
  53.             if ($oauthClientId) {
  54.                 $oauthClient $this->clientRepository->find($oauthClientId);
  55.                 if ($oauthClient) {
  56.                     $userClient $oauthClient->getApplicationClient();
  57.                 }
  58.             }
  59.         } else {
  60.             // Unknown user type
  61.             return false;
  62.         }
  64.         /** @var Course $course */
  65.         $course $subject;
  67.         // Check if we have a valid user client
  68.         if (!$userClient) {
  69.             return false;
  70.         }
  72.         // Get the client of the course (direct FK)
  73.         $courseClient $course->getClient();
  74.         if (!$courseClient) {
  75.             return false;
  76.         }
  78.         // Check if both belong to the same client
  79.         if ($userClient->getId() !== $courseClient->getId()) {
  80.             return false;
  81.         }
  83.         // For OAuth2 NullUser (API access), if client matches, allow VIEW access
  84.         if ($user instanceof NullUser && $attribute === self::VIEW) {
  85.             return true;
  86.         }
  88.         // For regular User, check roles
  89.         if ($user instanceof User) {
  90.             // ROLE_MANAGER and ROLE_ADMIN can access all courses of their client
  91.             if (in_array('ROLE_MANAGER'$user->getRoles(), true) || in_array('ROLE_ADMIN'$user->getRoles(), true)) {
  92.                 return true;
  93.             }
  94.             
  95.             // ROLE_SPEAKER can access courses they are assigned to as speaker
  96.             // Speakers are assigned to CourseOccurrences, not directly to Course
  97.             if (in_array('ROLE_SPEAKER'$user->getRoles(), true)) {
  98.                 // Check if speaker is assigned to any occurrence of this course
  99.                 foreach ($course->getOccurrences() as $occurrence) {
  100.                     foreach ($occurrence->getSpeakers() as $speaker) {
  101.                         if ($speaker->getUser() && $speaker->getUser()->getId() === $user->getId()) {
  102.                             return true;
  103.                         }
  104.                     }
  105.                 }
  106.             }
  107.         }
  108.         
  109.         return false;
  110.     }
  111. }