src/Security/Voter/UserVoter.php line 9

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter;
  5. use App\Entity\User;
  6. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  7. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  9. class UserVoter extends Voter
  10. {
  11.     // these strings are just invented: you can use anything
  12.     const LIST = 'list';
  13.     const VIEW 'view';
  14.     const EDIT 'edit';
  15.     const ADD 'add';
  16.     const DELETE 'delete';
  18.     protected function supports($attribute$subject)
  19.     {
  20.         // if the attribute isn't one we support, return false
  21.         if (!in_array($attribute, [self::LIST, self::VIEWself::EDITself::ADDself::DELETE])) {
  22.             return false;
  23.         }
  25.         // list and add have no subject, so subject cannot be passed
  26.         if ($attribute === self::LIST || $attribute === self::ADD) {
  27.             return true;
  28.         }
  30.         // only vote on User objects inside this voter
  31.         if (!$subject instanceof User) {
  32.             return false;
  33.         }
  35.         return true;
  36.     }
  38.     protected function voteOnAttribute($attribute$subjectTokenInterface $token)
  39.     {
  40.         $user $token->getUser();
  42.         if (!$user instanceof User) {
  43.             // the user must be logged in; if not, deny access
  44.             return false;
  45.         }
  47.         // you know $subject is a User object, thanks to supports
  48.         /** @var User $user */
  49.         $userSubject $subject;
  51.         switch ($attribute) {
  52.             case self::LIST:
  53.                 return $this->canList($user);
  54.             case self::VIEW:
  55.                 return $this->canView($userSubject$user);
  56.             case self::ADD:
  57.                 return $this->canAdd($user);
  58.             case self::EDIT:
  59.                 return $this->canEdit($userSubject$user);
  60.             case self::DELETE:
  61.                 return $this->canDelete($userSubject$user);
  62.         }
  64.         throw new \LogicException('This code should not be reached!');
  65.     }
  67.     private function canView(User $userSubjectUser $user)
  68.     {
  69.         // if they can edit, they can view
  70.         if ($this->canEdit($userSubject$user)) {
  71.             return true;
  72.         }
  74.         // user can edit self
  75.         if ($userSubject->getId() === $user->getId()) {
  76.             return true;
  77.         }
  79.         // admin can edit
  80.         if ($user->getIsAdmin() === true) {
  81.             return true;
  82.         }
  83.         return false;
  84.     }
  86.     private function canEdit(User $userSubjectUser $user)
  87.     {
  88.         // user can edit self
  89.         if ($userSubject->getId() === $user->getId()) {
  90.             return true;
  91.         }
  93.         // admin can edit
  94.         if ($user->getIsAdmin() === true) {
  95.             return true;
  96.         }
  98.         return false;
  99.     }
  101.     private function canAdd(User $user)
  102.     {
  103.         // for now only an Admin can create users
  104.         return $user->getIsAdmin();
  105.     }
  107.     private function canDelete(User $userSubjectUser $user)
  108.     {
  109.         // for now deleting is the same as editing with the exception that a user cannot delete self
  110.         if ($userSubject->getId() === $user->getId()) {
  111.             return false;
  112.         }
  114.         return $this->canEdit($userSubject$user);
  115.     }
  117.     private function canList(User $user)
  118.     {
  119.         // only users with isViewer rights can list users
  120.         return $user->getIsViewer();
  121.     }
  122. }