src/mvk/Auth/Services/VoterPermissions.php line 22

Open in your IDE?
  1. <?php
  3. /**
  4.  * This file is part of the Pimcore X Installation by
  5.  * ercas GmbH & CO. KG <https://www.ercasdieagentur.de>
  6.  *
  7.  *  @license GPLv3
  8.  */
  10. namespace App\mvk\Auth\Services;
  12. use Pimcore\Model\DataObject\Agent;
  13. use Pimcore\Model\DataObject\BmsSubAgent;
  14. use Pimcore\Model\DataObject\SubAgent;
  15. use Pimcore\Model\DataObject\Supervisor;
  16. use Psr\Container\ContainerInterface;
  17. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  18. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  19. use Symfony\Component\Security\Core\Security ;
  20. use Symfony\Component\Security\Core\User\UserInterface;
  22. class VoterPermissions extends Voter
  23. {
  24.     private $permissionService;
  26.     public function __construct(private Security $security, private ContainerInterface $container)
  27.     {
  28.         $this->security $security;
  29.         $this->container $container;
  30.         $this->permissionService $container->get('auth.frontend_permission_toolkit_bundle');
  31.     }
  33.     const SUBJECTS = ['Policy''Policyholder''PolicyDocument''Agent''SubAgent''BmsSubAgent''AgentDocument''InsuranceApplication''InsuranceOffer''DamageDeclaration'];
  35.     const VIEWCUSTOMERLIST 'viewCustmerList';
  37.     const VIEWSETTLEMENTS  'viewSettlements';
  39.     const VIEWGDVDOWNLOAD  'viewGdvDownload';
  41.     const VIEWAUFSICHTSRAT 'viewAufsichtsrat';
  43.     const VIEWMYUSERS      'viewMyUsers';
  45.     const GDVDOWNLOAD      'gdvDownload';
  47.     const AGENTDOCUMENTDOWNLOAD 'agentDocumentDownload';
  49.     const ACCESS 'access';
  51.     protected function supports(string $attributemixed $subject): bool
  52.     {
  54.         /**  if the attribute isn't one we support, return false */
  55.         if (!in_array($attribute, [self::VIEWCUSTOMERLISTself::VIEWSETTLEMENTSself::VIEWGDVDOWNLOADself::VIEWMYUSERSself::VIEWAUFSICHTSRATself::GDVDOWNLOADself::AGENTDOCUMENTDOWNLOADself::ACCESS])) {
  56.             return false;
  57.         }
  58.         /**  if the subject isn't one we support, return false. (can also use instanceof )  */
  59.         if ($subject && !in_array($subject->getClassName(), self::SUBJECTS)) {
  60.             return false;
  61.         }
  63.         return true;
  64.     }
  66.     protected function voteOnAttribute(string $attributemixed $subjectTokenInterface $token): bool
  67.     {
  69.         $user $token->getUser();
  71.         /** the user must be logged in; if not, deny access */
  72.         if (!$user instanceof UserInterface) {
  73.             return false;
  74.         }
  76.         $orginalUser$this->getOriginalUser($user);
  78.         return match($attribute) {
  79.             self::GDVDOWNLOAD => $this->canGdvDownload($attribute$orginalUser),
  80.             self::AGENTDOCUMENTDOWNLOAD => $this->canAgentDocumentDownload($attribute$orginalUser),
  81.             self::VIEWCUSTOMERLIST => $this->canViewCustmerList($attribute$orginalUser),
  82.             self::VIEWAUFSICHTSRAT => $this->canViewAufsichtsrat($attribute$orginalUser),
  83.             self::VIEWSETTLEMENTS => $this->canViewSettlements($attribute$orginalUser),
  84.             self::VIEWGDVDOWNLOAD => $this->canViewGdvDownload($attribute$orginalUser),
  85.             self::VIEWMYUSERS => $this->canViewMyUsers($attribute$orginalUser),
  86.             self::ACCESS => $this->canAccess($orginalUser$subject),
  88.             default => throw new \LogicException('This code should not be reached!')
  89.         };
  91.     }
  93.     /**
  94.      * This function checks Subjects that don't need special Treatments
  95.      */
  96.     private function checkSubject($user$subject): bool
  97.     {
  98.         $subject$this->reset($subject);
  99.         $method'get'.$user->getClassName();
  100.         if ($user instanceof SubAgent || $user instanceof BmsSubAgent) {
  101.             $user $user->getAgent();
  102.             if (!$user) {
  103.                 return false;
  104.             }
  105.             $method 'getAgent';
  107.         }
  108.         $userId$this->getUserOwners($user);
  110.         $allowedUsers$this->getAllowedUsers($subject$method);
  112.         return $this->getFinalDecision($allowedUsers$userId);
  114.     }
  116.     /**
  117.      * This function checks Subjects that  need special Treatments
  118.      */
  119.     private function checkSubjectSpecial($user$subject$attribute): bool
  120.     {
  121.         $subject$this->reset($subject);
  123.         if ($user instanceof Agent || $user instanceof SubAgent) {
  124.             $method 'getId';
  125.             if ($user instanceof SubAgent) {
  126.                 if (!$this->canAgentDocumentDownload($attribute$user)) {
  127.                     return false;
  128.                 }
  129.                 $user $user->getAgent();
  130.                 if (!$user) {
  131.                     return false;
  132.                 }
  134.             }
  135.             $userId$this->getUserOwners($user);
  136.             $allowedUsers$this->getAllowedUsers($subject$method);
  138.             return $this->getFinalDecision($allowedUsers$userId);
  139.         }
  141.         return false;
  143.     }
  145.     /**
  146.      * This function checks Related  SubAgent and BmsSubAgent to an Agent
  147.      */
  148.     private function checkRelatedAgent($user$subject)
  149.     {
  150.         if ($user instanceof Agent && $subject instanceof Agent) {
  151.             if ($subject->getId() === $user->getId()) {
  152.                 return true;
  153.             }
  154.         }
  155.         if ($user instanceof Agent && ($subject instanceof SubAgent ||  $subject instanceof BmsSubAgent)) {
  156.             $user $subject->getAgent();
  157.             if (!$user) {
  158.                 return false;
  159.             }
  160.             $method 'getAgent';
  161.             $userId$this->getUserOwners($user);
  162.             $allowedUsers$this->getAllowedUsers($subject$method);
  164.             return $this->getFinalDecision($allowedUsers$userId);
  165.         }
  167.         if ($user instanceof SubAgent || $user instanceof BmsSubAgent) {
  168.             $user $user->getAgent();
  169.             if (!$user) {
  170.                 return false;
  171.             }
  172.             $method 'getAgent';
  173.             $userId$this->getUserOwners($user);
  174.             $allowedUsers$this->getAllowedUsers($subject$method);
  176.             return $this->getFinalDecision($allowedUsers$userId);
  177.         }
  179.         return false;
  180.     }
  182.     /**
  183.      * This function checks Policy Object
  184.      */
  185.     private function checkPolicy($user$subject): bool
  186.     {
  187.         return $this->checkSubject($user$subject);
  188.     }
  190.     /**
  191.      * This function checks PolicyHolder Object
  192.      */
  193.     private function checkPolicyHolder($user$subject): bool
  194.     {
  195.         $subject $subject->getPolicies();
  197.         return $this->checkPolicy($user$subject);
  199.     }
  201.     /**
  202.      * This function checks Agent Object
  203.      */
  204.     private function checkAgent($user$subject): bool
  205.     {
  207.         return $this->checkRelatedAgent($user$subject);
  209.     }
  211.     /**
  212.      * This function checks SubAgent Object
  213.      */
  214.     private function checkSubAgent($user$subject): bool
  215.     {
  216.         return $this->checkRelatedAgent($user$subject);
  218.     }
  220.     /**
  221.      * This function checks BmsSubAgent Object
  222.      */
  223.     private function checkBmsSubAgent($user$subject): bool
  224.     {
  226.         return $this->checkRelatedAgent($user$subject);
  228.     }
  230.     /**
  231.      * This function checks InsuranceApplication Object
  232.      */
  233.     private function checkInsuranceApplication($user$subject): bool
  234.     {
  235.         return $this->checkSubject($user$subject);
  237.     }
  239.     /**
  240.      * This function checks InsuranceOffer Object
  241.      */
  242.     private function checkInsuranceOffer($user$subject): bool
  243.     {
  244.         return $this->checkSubject($user$subject);
  246.     }
  248.     /**
  249.      * This function checks DamageDeclaration Object
  250.      */
  251.     private function checkDamageDeclaration($user$subject): bool
  252.     {
  253.         return $this->checkSubject($user$subject);
  255.     }
  257.     /**
  258.      * This function checks PolicyDocument Object
  259.      */
  260.     private function checkPolicyDocument($user$subject): bool
  261.     {
  262.         $subject $subject->getpolicyNr();
  264.         return $this->checkSubject($user$subject);
  266.     }
  268.     /**
  269.      * This function checks AgentDocument Object
  270.      */
  271.     private function checkAgentDocument($user$subject): bool
  272.     {
  273.         $subject $subject->getagentNr();
  275.         return $this->checkSubjectSpecial($user$subject'agentDocumentDownload');
  277.     }
  279.     /**
  280.      * This function that get called in controllers with different subjects
  281.      */
  282.     private function canAccess($user$subject): bool
  283.     {
  284.         $method'check'.$subject->getClassName();
  286.         return $this->$method($user$subject);
  288.     }
  290.     /**
  291.      * This function checks User's Role GdvDownload
  292.      */
  293.     private function canGdvDownload($attribute$user): bool
  294.     {
  295.         if ($user instanceof Agent) {
  296.             return true;
  297.         } else {
  298.             if ($this->isAllowed('viewGdvDownload'$user)) {
  299.                 return true;
  300.             }
  301.         }
  303.         return false;
  305.     }
  307.     /**
  308.      * This function checks User's Role AgentDocumentDownload
  309.      */
  310.     private function canAgentDocumentDownload($attribute$user): bool
  311.     {
  312.         if ($user instanceof Agent) {
  313.             return true;
  314.         } else {
  315.             if ($this->isAllowed('viewSettlements'$user)) {
  316.                 return true;
  317.             }
  318.         }
  320.         return false;
  322.     }
  324.     /**
  325.      * This function checks wether the user can view Kundenliste Pimcore Document
  326.      */
  327.     private function canViewCustmerList($attribute$user): bool
  328.     {
  329.         if ($user instanceof Agent || $user instanceof SubAgent || $user instanceof BmsSubAgent) {
  330.             return true;
  331.         }
  333.         return false;
  335.     }
  337.     /**
  338.      * This function checks wether the user can access ViewAufsichtsrat
  339.      */
  340.     private function canViewAufsichtsrat($attribute$user): bool
  341.     {
  342.         if ($user instanceof Supervisor) {
  343.             return true;
  344.         }
  346.         return false;
  348.     }
  350.     /**
  351.      * This function checks wether the user can view Abrechnungen Pimcore Document
  352.      */
  353.     private function canViewSettlements($attribute$user): bool
  354.     {
  355.         return $this->canAgentDocumentDownload($attribute$user);
  357.     }
  359.     /**
  360.      * This function checks wether the user can view GDV Download Pimcore Document
  361.      */
  362.     private function canViewGdvDownload($attribute$user): bool
  363.     {
  365.         return $this->canGdvDownload($attribute$user);
  367.     }
  369.     /**
  370.      * This function checks wether the user can view  Meine Benutzer Pimcore Document
  371.      */
  372.     private function canViewMyUsers($attribute$user): bool
  373.     {
  375.         if ($user instanceof Agent) {
  376.             return true;
  377.         }
  379.         return false;
  381.     }
  383.     /**
  384.      * This function checks wether the user is granted the permission based on their Role
  385.      */
  386.     private function isAllowed($attribute$user)
  387.     {
  389.         if ($this->permissionService->isAllowed($user$attribute)) {
  390.             return true;
  391.         }
  393.         return false;
  394.     }
  396.     private function getOriginalUser($user)
  397.     {
  398.         $class=  "Pimcore\Model\DataObject\\".$user->getClassName();
  400.         $user $class::getById($user->getId());
  402.         return  $user;
  404.     }
  406.     private function reset($subject)
  407.     {
  408.         if (is_array($subject) && count($subject)==1) {
  409.             $subject =  reset($subject);
  410.         }
  412.         return $subject;
  413.     }
  415.     private function getAllowedUsers($subject$method)
  416.     {
  417.         $allowedUsers=[];
  419.         if (is_array($subject)) {
  420.             foreach ($subject as $mSubject) {
  421.                 $holder $mSubject->$method();
  422.                 if ($holder) {
  423.                     $holder$this->reset($holder);
  424.                     if (is_array($holder)) {
  425.                         foreach ($holder as $subHolder) {
  426.                             array_push($allowedUsers$subHolder->getId());
  427.                         }
  428.                     } else {
  429.                         is_int($holder) ? $holderId=$holder $holderId=$holder->getId();
  430.                         array_push($allowedUsers$holderId);
  431.                     }
  432.                 }
  433.             }
  434.         } else {
  435.             $holder $subject->$method();
  436.             if ($holder) {
  437.                 $holder$this->reset($holder);
  438.                 if (is_array($holder)) {
  439.                     $method 'getId';
  440.                     $allowedUsers $this->getAllowedUsers($holder$method);
  441.                 } else {
  442.                     $holder$this->reset($holder);
  443.                     is_int($holder) ? $holderId=$holder $holderId=$holder->getId();
  444.                     array_push($allowedUsers$holderId);
  445.                 }
  446.             }
  448.         }
  450.         return $allowedUsers;
  451.     }
  453.     private function getUserOwners($user)
  454.     {
  455.         $users=[];
  457.         if (is_array($user)) {
  458.             foreach ($user as $agent) {
  459.                 array_push($users$agent->getId());
  460.             }
  461.         } else {
  462.             array_push($users$user->getId());
  463.         }
  465.         return $users;
  467.     }
  469.     private function getFinalDecision($allowedUsers$userId)
  470.     {
  472.         if ($allowedUsers) {
  473.             if (is_array($userId)) {
  474.                 foreach ($userId as $user) {
  475.                     if (in_array($user$allowedUsers)) {
  476.                         return true;
  477.                     }
  478.                 }
  479.             } else {
  480.                 if (in_array($userId$allowedUsers)) {
  481.                     return true;
  482.                 }
  483.             }
  485.         }
  487.         return false;
  488.     }
  489. }