src/Security/Voter/SwitchUserVoter.php line 13

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter;
  5. use App\Util\AppLogger;
  6. use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  7. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  8. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  9. use Symfony\Component\Security\Core\User\UserInterface;
  10. use Sensio\Bundle\FrameworkExtraBundle\Configuration\IsGranted;
  11. use Symfony\Component\Security\Core\Security;
  13. class SwitchUserVoter extends Voter
  14. {
  15.     private $security;
  16.     private $logger;
  17.     
  18.     public function __construct(Security $securityAppLogger $logger)
  19.     {
  20.         $this->security $security;
  21.         $this->logger $logger;
  22.     }
  23.     
  24.     protected function supports($attribute$subject) : bool
  25.     {
  26.         return in_array($attribute, ['CAN_SWITCH_USER'])
  27.         && $subject instanceof UserInterface;
  28.     }
  29.     
  30.     protected function voteOnAttribute($attribute$subjectTokenInterface $token) : bool
  31.     {
  32.         $user $token->getUser();
  33.         // if the user is anonymous, do not grant access
  34.         if (!$user instanceof UserInterface || !$subject instanceof UserInterface) {
  35.             return false;
  36.         }
  38.         // admin can switch to any user
  39.         if($this->security->isGranted('ROLE_ADMIN') && $this->security->isGranted('ROLE_ALLOWED_TO_SWITCH')) {
  40.             return true;
  41.         }
  42.         
  43.         // postmaster - we have to check domain
  44.         if($this->security->isGranted('ROLE_POSTMASTER') && $this->security->isGranted('ROLE_ALLOWED_TO_SWITCH')) {
  45.             $domains $user->getDomains();
  46.             $domainToCheck $subject->getUserDomainPart();
  47.             
  48.             foreach($domains as $domain) {
  49.                 if($domain == $domainToCheck) {
  50.                     // don't allow switching to more powerful role
  51.                     foreach($subject->getRoleNames() as $role) {
  52.                         if($role == 'ROLE_ADMIN' || $role == 'ROLE_SUPER_ADMIN') {
  53.                             $this->logger->log('access denied: POSTMASTER switching to more powerful user ' $subject->getUsername() . ' from ' $user->getUsername(), null, [], 'alert');
  54.                             return false;
  55.                         }
  56.                     }
  57.                     return true;
  58.                 }
  59.             }
  60.             
  61.             $this->logger->log('access denied: POSTMASTER switching to user ' $subject->getUsername() . ' from ' $user->getUsername(), null, [], 'alert');
  62.             return false;
  63.         }
  64.         
  65.         // groupmaster && usermaster - we have to check accounts this user has access to
  66.         if($this->security->isGranted('ROLE_USERMASTER') && $this->security->isGranted('ROLE_ALLOWED_TO_SWITCH')) {
  67.             $accounts $user->getAccounts();
  68.             $accountToCheck $subject->getUsername();
  69.             
  70.             foreach($accounts as $account) {
  71.                 if($account == $accountToCheck) {
  72.                     return true;
  73.                 }
  74.             }
  75.             
  76.             $this->logger->log('access denied: USERMASTER switching to user ' $subject->getUsername() . ' from ' $user->getUsername(), null, [], 'alert');
  77.             return false;
  78.         }
  79.         
  80.         $this->logger->log('access denied: switching to user ' $subject->getUsername() . ' from ' $user->getUsername(), null, [], 'alert');
  81.         return false;
  82.         
  83.     }
  84. }