src/Security/UserVoter.php line 13

Open in your IDE?
  1. <?php
  2. // src/Security/UserVoter.php
  3. namespace App\Security;
  5. use App\Entity\User;
  6. use Symfony\Component\Security\Core\Security;
  7. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  8. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  10. /**
  11.  * @see https://symfony.com/doc/current/security/voters.html
  12.  */
  13. class UserVoter extends Voter
  14. {
  15.     // these strings are made up: you can use anything
  16.     const VIEW 'view';
  17.     const EDIT 'edit';
  19.     /** @var Security */
  20.     private $security;
  22.     public function __construct(Security $security)
  23.     {
  24.         $this->security $security;
  25.     }
  27.     /**
  28.      * Determine if the voter supports given attribute and subject
  29.      * 
  30.      * @param string $attribute
  31.      * @param $subject
  32.      * 
  33.      * @return bool
  34.      */
  35.     protected function supports($attribute$subject)
  36.     {
  37.         // if the attribute isn't one we support, return false
  38.         if (!in_array($attribute, [self::VIEWself::EDIT])) {
  39.             return false;
  40.         }
  42.         // only vote on User objects inside this voter
  43.         if (!$subject instanceof User) {
  44.             return false;
  45.         }
  47.         return true;
  48.     }
  50.     /**
  51.      * Vote to grant (return true) or deny (return false) access
  52.      *
  53.      * @param string $attribute
  54.      * @param User $subject
  55.      * @param TokenInterface $token
  56.      *
  57.      * @return bool
  58.      * 
  59.      * @throws \LogicException when an invalid attribute is provided
  60.      */
  61.     protected function voteOnAttribute($attribute$subjectTokenInterface $token)
  62.     {
  63.         $currentUser $token->getUser();
  65.         if (!$currentUser instanceof User) {
  66.             // the user must be logged in; if not, deny access
  67.             return false;
  68.         }
  70.         // Admins can do anything! The power!
  71.         if ($this->security->isGranted('ROLE_ADMIN')) {
  72.             return true;
  73.         }
  75.         switch ($attribute) {
  76.             case self::VIEW:
  77.                 return $this->canView($subject$currentUser);
  78.             case self::EDIT:
  79.                 return $this->canEdit($subject$currentUser);
  80.         }
  82.         throw new \LogicException('This code should not be reached!');
  83.     }
  85.     private function canView(User $accessedUserUser $currentUser)
  86.     {
  87.         // if they can edit, they can view
  88.         if ($this->canEdit($accessedUser$currentUser)) {
  89.             return true;
  90.         }
  92.         // the Post object could have, for example, a method isPrivate()
  93.         // that checks a boolean $private property
  94.         // return !$accessedUser->isPrivate();
  95.         return false;
  96.     }
  98.     private function canEdit(User $accessedUserUser $currentUser)
  99.     {
  100.         // this assumes that the data object has a getOwner() method
  101.         // to get the entity of the user who owns this data object
  102.         return $currentUser === $accessedUser;
  103.     }
  104. }