src/EventSubscriber/AclAccessSubscriber.php line 92

Open in your IDE?
  1. <?php
  3. namespace App\EventSubscriber;
  5. use App\Constants\ACL;
  6. use App\Entity\User;
  7. use App\Services\Common\AclServiceV2;
  8. use JsonException;
  9. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  10. use Symfony\Component\HttpKernel\Event\RequestEvent;
  11. use Symfony\Component\HttpKernel\KernelEvents;
  12. use Symfony\Component\Security\Core\Exception\AccessDeniedException;
  13. use Symfony\Component\Security\Core\Security;
  15. /**
  16. * Classe AclAccessSubscriber
  17. *
  18. * Cette classe est un abonné aux événements qui gère les droits d'accès aux différentes parties de l'application.
  19. * Elle écoute les requêtes entrantes et applique les règles d'accès définies.
  20. *
  21. * Méthodes :
  22. * - __construct: Constructeur de la classe, initialise les dépendances nécessaires pour la gestion des accès.
  23. * - onKernelRequest: Méthode appelée lors de l'événement de requête du noyau. Utilisée pour vérifier les droits
  24. * d'accès de l'utilisateur courant pour la requête en cours.
  25. * - isUriPublic: (Méthode privée) Détermine si l'URI courante est accessible publiquement sans restrictions
  26. * d'accès.
  27. *
  28. * @package App\EventSubscriber
  29. */
  30. class AclAccessSubscriber implements EventSubscriberInterface
  31. {
  33. private AclServiceV2 $aclService;
  34. private Security $security;
  36. /**
  37. * @param AclServiceV2 $aclService
  38. * @param Security $security
  39. */
  40. public function __construct( AclServiceV2 $aclService, Security $security )
  41. {
  42. $this->aclService = $aclService;
  43. $this->security = $security;
  44. }
  47. /**
  48. * Méthode appelée lors de l'événement de requête du noyau. Utilisée pour vérifier les droits d'accès de
  49. * l'utilisateur courant pour la requête en cours.
  50. *
  51. * @return string[]
  52. */
  53. public static function getSubscribedEvents(): array
  54. {
  55. return [
  56. KernelEvents::REQUEST => 'onKernelRequest',
  57. ];
  58. }
  61. /**
  62. * Listener sur la possibilité d'accéder ou non à la route de la request
  63. *
  64. * Vérifie si la route est "publique"
  65. * Vérifie si le currentUser a le droit d'accéder à la route → 403 si userIsGranted retourne FALSE
  66. * Si la route concerne le back et que le currentUser est un ROLE_USER retourne une 403
  67. *
  68. * @param RequestEvent $event
  69. *
  70. * @return void
  71. *
  72. * @throws JsonException
  73. */
  74. public function onKernelRequest( RequestEvent $event ): void
  75. {
  76. $request = $event->getRequest();
  77. /** @var User $currentUser */
  78. $currentUser = $this->security->getUser();
  80. $env = $request->get( '_env' ) ?? ACL::FRONT_ENV;
  81. $route = $request->get( '_route' );
  82. $params = json_encode( $request->get( '_route_params' ), JSON_THROW_ON_ERROR | JSON_UNESCAPED_UNICODE );
  85. if (
  86. $route === NULL || // pas de route
  87. $this->isUriPublic( $request->getRequestUri() )
  88. ) {
  89. return;
  90. }
  92. $isGranted = $this->aclService->userIsGranted(
  93. $currentUser,
  94. [
  95. 'route' => $route,
  96. 'params' => $params,
  97. 'component' => ACL::ACL_NO_COMPONENT,
  98. 'slug' => ACL::ACL_NO_SLUG,
  99. 'action' => ACL::READ,
  100. 'env' => $env,
  101. ]
  102. );
  104. // on bloque en plus l'accès back pour les user, en cas de soucis sur le security.yaml
  105. if ( !$isGranted || ( $env === ACL::BACK_ENV && $currentUser->isUser() ) ) {
  106. throw new AccessDeniedException( 'Vous ne disposez pas des droits suffisants pour cette page' );
  107. }
  108. }
  111. /**
  112. * Vérifie que l'url ne fait pas partie de la liste des urls accessibles par tout le monde
  113. *
  114. * @param string $uriRequested
  115. *
  116. * @return bool
  117. */
  118. private function isUriPublic( string $uriRequested ): bool
  119. {
  120. $uriPublic = [
  121. '/build/',
  122. '/js/',
  123. '/_wdt/',
  124. '/_profiler/',
  125. // uri venant de security.yaml access_control
  126. '/static-file',
  127. '/static-project-file',
  128. '/cron',
  129. '/cache-clear',
  130. '/closed-platform',
  131. '/wm-api/login',
  132. '/wm-api/doc',
  133. '/white-mark',
  134. '/api',
  135. '/portal',
  136. '/monetico',
  137. '/stripe',
  138. '/dtv/api',
  139. '/ems-api',
  140. '/charitips/webhook/donation-success',
  141. '/saml/login',
  142. '/saml/metadata',
  143. '/saml/acs',
  144. '/saml/logout',
  145. '/login',
  146. '/register',
  147. '/membership/register',
  148. '/reset-password',
  149. '/profil/accept-cgu-first',
  150. '/profil/welcome-register',
  151. '/bo-parameters',
  152. '/document',
  153. '/front-css-custom.css',
  154. '/dev',
  155. '/version',
  156. '/bdd-up',
  157. '/upgrade',
  158. '/catalogue/search.json',
  159. '/create-developer',
  160. ];
  162. $selected = array_filter( $uriPublic, static function ( $el ) use ( $uriRequested ) {
  163. return strpos( $uriRequested, $el ) === 0;
  164. } );
  166. return $selected !== [];
  167. }
  168. }