vendor/symfony/security-core/Authorization/Voter/ExpressionVoter.php line 29

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <[email protected]>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\Security\Core\Authorization\Voter;
  14. use Symfony\Component\ExpressionLanguage\Expression;
  15. use Symfony\Component\ExpressionLanguage\ExpressionFunctionProviderInterface;
  16. use Symfony\Component\HttpFoundation\Request;
  17. use Symfony\Component\Security\Core\Authentication\AuthenticationTrustResolverInterface;
  18. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  19. use Symfony\Component\Security\Core\Authorization\AuthorizationCheckerInterface;
  20. use Symfony\Component\Security\Core\Authorization\ExpressionLanguage;
  21. use Symfony\Component\Security\Core\Role\Role;
  22. use Symfony\Component\Security\Core\Role\RoleHierarchyInterface;
  24. /**
  25.  * ExpressionVoter votes based on the evaluation of an expression.
  26.  *
  27.  * @author Fabien Potencier <[email protected]>
  28.  */
  29. class ExpressionVoter implements VoterInterface
  30. {
  31.     private $expressionLanguage;
  32.     private $trustResolver;
  33.     private $authChecker;
  34.     private $roleHierarchy;
  36.     /**
  37.      * @param AuthorizationCheckerInterface $authChecker
  38.      */
  39.     public function __construct(ExpressionLanguage $expressionLanguageAuthenticationTrustResolverInterface $trustResolver$authChecker nullRoleHierarchyInterface $roleHierarchy null)
  40.     {
  41.         if ($authChecker instanceof RoleHierarchyInterface) {
  42.             @trigger_error(sprintf('Passing a RoleHierarchyInterface to "%s()" is deprecated since Symfony 4.2. Pass an AuthorizationCheckerInterface instead.'__METHOD__), E_USER_DEPRECATED);
  43.             $roleHierarchy $authChecker;
  44.             $authChecker null;
  46.             if (!method_exists($roleHierarchy'getReachableRoleNames')) {
  47.                 @trigger_error(sprintf('Not implementing the "%s::getReachableRoleNames()" method in "%s" is deprecated since Symfony 4.3.'RoleHierarchyInterface::class, \get_class($this->roleHierarchy)), E_USER_DEPRECATED);
  48.             }
  49.         } elseif (null === $authChecker) {
  50.             @trigger_error(sprintf('Argument 3 passed to "%s()" should be an instance of AuthorizationCheckerInterface, not passing it is deprecated since Symfony 4.2.'__METHOD__), E_USER_DEPRECATED);
  51.         } elseif (!$authChecker instanceof AuthorizationCheckerInterface) {
  52.             throw new \TypeError(sprintf('Argument 3 passed to "%s()" must be an instance of "%s" or null, "%s" given.'__METHOD__AuthorizationCheckerInterface::class, \is_object($authChecker) ? \get_class($authChecker) : \gettype($authChecker)));
  53.         }
  55.         $this->expressionLanguage $expressionLanguage;
  56.         $this->trustResolver $trustResolver;
  57.         $this->authChecker $authChecker;
  58.         $this->roleHierarchy $roleHierarchy;
  59.     }
  61.     /**
  62.      * @deprecated since Symfony 4.1, register the provider directly on the injected ExpressionLanguage instance instead.
  63.      */
  64.     public function addExpressionLanguageProvider(ExpressionFunctionProviderInterface $provider)
  65.     {
  66.         @trigger_error(sprintf('The "%s()" method is deprecated since Symfony 4.1, register the provider directly on the injected ExpressionLanguage instance instead.'__METHOD__), E_USER_DEPRECATED);
  68.         $this->expressionLanguage->registerProvider($provider);
  69.     }
  71.     /**
  72.      * {@inheritdoc}
  73.      */
  74.     public function vote(TokenInterface $token$subject, array $attributes)
  75.     {
  76.         $result VoterInterface::ACCESS_ABSTAIN;
  77.         $variables null;
  78.         foreach ($attributes as $attribute) {
  79.             if (!$attribute instanceof Expression) {
  80.                 continue;
  81.             }
  83.             if (null === $variables) {
  84.                 $variables $this->getVariables($token$subject);
  85.             }
  87.             $result VoterInterface::ACCESS_DENIED;
  88.             if ($this->expressionLanguage->evaluate($attribute$variables)) {
  89.                 return VoterInterface::ACCESS_GRANTED;
  90.             }
  91.         }
  93.         return $result;
  94.     }
  96.     private function getVariables(TokenInterface $token$subject): array
  97.     {
  98.         if (method_exists($token'getRoleNames')) {
  99.             $roleNames $token->getRoleNames();
  100.             $roles array_map(function (string $role) { return new Role($rolefalse); }, $roleNames);
  101.         } else {
  102.             @trigger_error(sprintf('Not implementing the "%s::getRoleNames()" method in "%s" is deprecated since Symfony 4.3.'TokenInterface::class, \get_class($token)), E_USER_DEPRECATED);
  104.             $roles $token->getRoles(false);
  105.             $roleNames array_map(function (Role $role) { return $role->getRole(); }, $roles);
  106.         }
  108.         if (null !== $this->roleHierarchy && method_exists($this->roleHierarchy'getReachableRoleNames')) {
  109.             $roleNames $this->roleHierarchy->getReachableRoleNames($roleNames);
  110.             $roles array_map(function (string $role) { return new Role($rolefalse); }, $roleNames);
  111.         } elseif (null !== $this->roleHierarchy) {
  112.             $roles $this->roleHierarchy->getReachableRoles($roles);
  113.             $roleNames array_map(function (Role $role) { return $role->getRole(); }, $roles);
  114.         }
  116.         $variables = [
  117.             'token' => $token,
  118.             'user' => $token->getUser(),
  119.             'object' => $subject,
  120.             'subject' => $subject,
  121.             'roles' => $roles,
  122.             'role_names' => $roleNames,
  123.             'trust_resolver' => $this->trustResolver,
  124.             'auth_checker' => $this->authChecker,
  125.         ];
  127.         // this is mainly to propose a better experience when the expression is used
  128.         // in an access control rule, as the developer does not know that it's going
  129.         // to be handled by this voter
  130.         if ($subject instanceof Request) {
  131.             $variables['request'] = $subject;
  132.         }
  134.         return $variables;
  135.     }
  136. }