src/Security/Voter/VenueSecurityVoter.php line 17

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter;
  5. use App\Entity\Venue;
  6. use App\Repository\OAuth\ClientRepository;
  7. use App\User\Entity\Client;
  8. use App\User\Entity\User;
  9. use League\Bundle\OAuth2ServerBundle\Security\User\NullUser;
  10. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  11. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  13. /**
  14.  * Security voter to control access to Venue entities based on client ownership.
  15.  * Note: This replaces role-based checks with client-based checks.
  16.  */
  17. class VenueSecurityVoter extends Voter
  18. {
  19.     public const VIEW 'view';
  20.     public const EDIT 'edit';
  21.     public const DELETE 'delete';
  23.     private ClientRepository $clientRepository;
  25.     public function __construct(ClientRepository $clientRepository)
  26.     {
  27.         $this->clientRepository $clientRepository;
  28.     }
  30.     protected function supports(string $attribute$subject): bool
  31.     {
  32.         return in_array($attribute, [self::VIEWself::EDITself::DELETE], true)
  33.             && $subject instanceof Venue;
  34.     }
  36.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  37.     {
  38.         $user $token->getUser();
  40.         // Determine the client based on user type
  41.         $userClient null;
  42.         
  43.         if ($user instanceof User) {
  44.             $userClient $user->getClient();
  45.             
  46.             // ROLE_SUPER_USER can access everything
  47.             if (in_array('ROLE_SUPER_USER'$user->getRoles(), true)) {
  48.                 return true;
  49.             }
  50.         } elseif ($user instanceof NullUser) {
  51.             // OAuth2 client credentials flow - get client from token
  52.             $oauthClientId $token->getAttribute('oauth_client_id');
  53.             if ($oauthClientId) {
  54.                 $oauthClient $this->clientRepository->find($oauthClientId);
  55.                 if ($oauthClient) {
  56.                     $userClient $oauthClient->getApplicationClient();
  57.                 }
  58.             }
  59.         } else {
  60.             // Unknown user type
  61.             return false;
  62.         }
  64.         /** @var Venue $venue */
  65.         $venue $subject;
  67.         // Check if we have a valid user client
  68.         if (!$userClient) {
  69.             return false;
  70.         }
  72.         // Get the client of the venue (direct FK)
  73.         $venueClient $venue->getClient();
  74.         if (!$venueClient) {
  75.             return false;
  76.         }
  78.         // Check if both belong to the same client
  79.         if ($userClient->getId() !== $venueClient->getId()) {
  80.             return false;
  81.         }
  83.         // For OAuth2 NullUser (API access), if client matches, allow VIEW access
  84.         if ($user instanceof NullUser && $attribute === self::VIEW) {
  85.             return true;
  86.         }
  88.         // For regular User, check roles
  89.         if ($user instanceof User) {
  90.             // User needs at least ROLE_MANAGER, ROLE_ADMIN or ROLE_PROVIDER to access venues
  91.             return in_array('ROLE_MANAGER'$user->getRoles(), true)
  92.                 || in_array('ROLE_ADMIN'$user->getRoles(), true)
  93.                 || in_array('ROLE_PROVIDER'$user->getRoles(), true);
  94.         }
  96.         return false;
  97.     }
  98. }