vendor/contao/core-bundle/src/Resources/contao/classes/BackendUser.php line 34

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of Contao.
  5.  *
  6.  * (c) Leo Feyer
  7.  *
  8.  * @license LGPL-3.0-or-later
  9.  */
  11. namespace Contao;
  13. use Contao\CoreBundle\Exception\RedirectResponseException;
  14. use Symfony\Component\Routing\Generator\UrlGeneratorInterface;
  15. use Symfony\Component\Routing\RouterInterface;
  16. use Symfony\Component\Security\Core\User\UserInterface;
  18. /**
  19.  * Provide methods to manage back end users.
  20.  *
  21.  * @property boolean $isAdmin
  22.  * @property array   $groups
  23.  * @property array   $elements
  24.  * @property array   $fields
  25.  * @property array   $pagemounts
  26.  * @property array   $filemounts
  27.  * @property array   $filemountIds
  28.  * @property string  $fop
  29.  * @property array   $alexf
  30.  * @property array   $imageSizes
  31.  *
  32.  * @author Leo Feyer <https://github.com/leofeyer>
  33.  */
  34. class BackendUser extends User
  35. {
  36.     /**
  37.      * Edit page flag
  38.      */
  39.     const CAN_EDIT_PAGE 1;
  41.     /**
  42.      * Edit page hierarchy flag
  43.      */
  44.     const CAN_EDIT_PAGE_HIERARCHY 2;
  46.     /**
  47.      * Delete page flag
  48.      */
  49.     const CAN_DELETE_PAGE 3;
  51.     /**
  52.      * Edit articles flag
  53.      */
  54.     const CAN_EDIT_ARTICLES 4;
  56.     /**
  57.      * Edit article hierarchy flag
  58.      */
  59.     const CAN_EDIT_ARTICLE_HIERARCHY 5;
  61.     /**
  62.      * Delete articles flag
  63.      */
  64.     const CAN_DELETE_ARTICLES 6;
  66.     /**
  67.      * Symfony Security session key
  68.      * @deprecated Deprecated since Contao 4.8, to be removed in Contao 5.0
  69.      */
  70.     const SECURITY_SESSION_KEY '_security_contao_backend';
  72.     /**
  73.      * Current object instance (do not remove)
  74.      * @var BackendUser
  75.      */
  76.     protected static $objInstance;
  78.     /**
  79.      * Name of the corresponding table
  80.      * @var string
  81.      */
  82.     protected $strTable 'tl_user';
  84.     /**
  85.      * Name of the current cookie
  86.      * @var string
  87.      */
  88.     protected $strCookie 'BE_USER_AUTH';
  90.     /**
  91.      * Allowed excluded fields
  92.      * @var array
  93.      */
  94.     protected $alexf = array();
  96.     /**
  97.      * File mount IDs
  98.      * @var array
  99.      */
  100.     protected $arrFilemountIds;
  102.     /**
  103.      * Symfony security roles
  104.      * @var array
  105.      */
  106.     protected $roles = array('ROLE_USER');
  108.     /**
  109.      * Initialize the object
  110.      */
  111.     protected function __construct()
  112.     {
  113.         parent::__construct();
  115.         $this->strIp Environment::get('ip');
  116.         $this->strHash Input::cookie($this->strCookie);
  117.     }
  119.     /**
  120.      * Instantiate a new user object
  121.      *
  122.      * @return static|User The object instance
  123.      */
  124.     public static function getInstance()
  125.     {
  126.         if (static::$objInstance !== null)
  127.         {
  128.             return static::$objInstance;
  129.         }
  131.         $objToken System::getContainer()->get('security.token_storage')->getToken();
  133.         // Load the user from the security storage
  134.         if ($objToken !== null && is_a($objToken->getUser(), static::class))
  135.         {
  136.             return $objToken->getUser();
  137.         }
  139.         // Check for an authenticated user in the session
  140.         $strUser System::getContainer()->get('contao.security.token_checker')->getBackendUsername();
  142.         if ($strUser !== null)
  143.         {
  144.             static::$objInstance = static::loadUserByUsername($strUser);
  146.             return static::$objInstance;
  147.         }
  149.         return parent::getInstance();
  150.     }
  152.     /**
  153.      * Extend parent getter class and modify some parameters
  154.      *
  155.      * @param string $strKey
  156.      *
  157.      * @return mixed
  158.      */
  159.     public function __get($strKey)
  160.     {
  161.         switch ($strKey)
  162.         {
  163.             case 'isAdmin':
  164.                 return $this->arrData['admin'] ? true false;
  166.             case 'groups':
  167.                 return \is_array($this->arrData['groups']) ? $this->arrData['groups'] : ($this->arrData['groups'] ? array($this->arrData['groups']) : array());
  169.             case 'pagemounts':
  170.                 return \is_array($this->arrData['pagemounts']) ? $this->arrData['pagemounts'] : ($this->arrData['pagemounts'] ? array($this->arrData['pagemounts']) : false);
  172.             case 'filemounts':
  173.                 return \is_array($this->arrData['filemounts']) ? $this->arrData['filemounts'] : ($this->arrData['filemounts'] ? array($this->arrData['filemounts']) : false);
  175.             case 'filemountIds':
  176.                 return $this->arrFilemountIds;
  178.             case 'fop':
  179.                 return \is_array($this->arrData['fop']) ? $this->arrData['fop'] : ($this->arrData['fop'] ? array($this->arrData['fop']) : false);
  181.             case 'alexf':
  182.                 return $this->alexf;
  183.         }
  185.         return parent::__get($strKey);
  186.     }
  188.     /**
  189.      * Redirect to the login screen if authentication fails
  190.      *
  191.      * @return boolean True if the user could be authenticated
  192.      *
  193.      * @deprecated Deprecated since Contao 4.5, to be removed in Contao 5.0.
  194.      *             Use Symfony security instead.
  195.      */
  196.     public function authenticate()
  197.     {
  198.         trigger_deprecation('contao/core-bundle''4.5''Using "Contao\BackendUser::authenticate()" has been deprecated and will no longer work in Contao 5.0. Use Symfony security instead.');
  200.         // Do not redirect if authentication is successful
  201.         if (System::getContainer()->get('contao.security.token_checker')->hasBackendUser())
  202.         {
  203.             return true;
  204.         }
  206.         if (!$request System::getContainer()->get('request_stack')->getCurrentRequest())
  207.         {
  208.             return false;
  209.         }
  211.         $route $request->attributes->get('_route');
  213.         if ($route == 'contao_backend_login')
  214.         {
  215.             return false;
  216.         }
  218.         $url System::getContainer()->get('router')->generate('contao_backend_login', array('redirect' => $request->getUri()), UrlGeneratorInterface::ABSOLUTE_URL);
  220.         throw new RedirectResponseException(System::getContainer()->get('uri_signer')->sign($url));
  221.     }
  223.     /**
  224.      * Try to login the current user
  225.      *
  226.      * @return boolean True if the user could be logged in
  227.      *
  228.      * @deprecated Deprecated since Contao 4.5, to be removed in Contao 5.0.
  229.      *             Use Symfony security instead.
  230.      */
  231.     public function login()
  232.     {
  233.         trigger_deprecation('contao/core-bundle''4.5''Using "Contao\BackendUser::login()" has been deprecated and will no longer work in Contao 5.0. Use Symfony security instead.');
  235.         return System::getContainer()->get('contao.security.token_checker')->hasBackendUser();
  236.     }
  238.     /**
  239.      * Check whether the current user has a certain access right
  240.      *
  241.      * @param array|string $field
  242.      * @param string       $array
  243.      *
  244.      * @return boolean
  245.      */
  246.     public function hasAccess($field$array)
  247.     {
  248.         if ($this->isAdmin)
  249.         {
  250.             return true;
  251.         }
  253.         if (!\is_array($field))
  254.         {
  255.             $field = array($field);
  256.         }
  258.         if (\is_array($this->$array) && array_intersect($field$this->$array))
  259.         {
  260.             return true;
  261.         }
  263.         if ($array == 'filemounts')
  264.         {
  265.             // Check the subfolders (filemounts)
  266.             foreach ($this->filemounts as $folder)
  267.             {
  268.                 if (preg_match('/^' preg_quote($folder'/') . '(\/|$)/i'$field[0]))
  269.                 {
  270.                     return true;
  271.                 }
  272.             }
  273.         }
  275.         return false;
  276.     }
  278.     /**
  279.      * Return true if the current user is allowed to do the current operation on the current page
  280.      *
  281.      * @param integer $int
  282.      * @param array   $row
  283.      *
  284.      * @return boolean
  285.      */
  286.     public function isAllowed($int$row)
  287.     {
  288.         if ($this->isAdmin)
  289.         {
  290.             return true;
  291.         }
  293.         // Inherit CHMOD settings
  294.         if (!$row['includeChmod'])
  295.         {
  296.             $pid $row['pid'];
  298.             $row['chmod'] = false;
  299.             $row['cuser'] = false;
  300.             $row['cgroup'] = false;
  302.             $objParentPage PageModel::findById($pid);
  304.             while ($objParentPage !== null && $row['chmod'] === false && $pid 0)
  305.             {
  306.                 $pid $objParentPage->pid;
  308.                 $row['chmod'] = $objParentPage->includeChmod $objParentPage->chmod false;
  309.                 $row['cuser'] = $objParentPage->includeChmod $objParentPage->cuser false;
  310.                 $row['cgroup'] = $objParentPage->includeChmod $objParentPage->cgroup false;
  312.                 $objParentPage PageModel::findById($pid);
  313.             }
  315.             // Set default values
  316.             if ($row['chmod'] === false)
  317.             {
  318.                 $row['chmod'] = Config::get('defaultChmod');
  319.             }
  321.             if ($row['cuser'] === false)
  322.             {
  323.                 $row['cuser'] = (int) Config::get('defaultUser');
  324.             }
  326.             if ($row['cgroup'] === false)
  327.             {
  328.                 $row['cgroup'] = (int) Config::get('defaultGroup');
  329.             }
  330.         }
  332.         // Set permissions
  333.         $chmod StringUtil::deserialize($row['chmod']);
  334.         $chmod = \is_array($chmod) ? $chmod : array($chmod);
  335.         $permission = array('w' $int);
  337.         if (\in_array($row['cgroup'], $this->groups))
  338.         {
  339.             $permission[] = 'g' $int;
  340.         }
  342.         if ($row['cuser'] == $this->id)
  343.         {
  344.             $permission[] = 'u' $int;
  345.         }
  347.         return \count(array_intersect($permission$chmod)) > 0;
  348.     }
  350.     /**
  351.      * Return true if there is at least one allowed excluded field
  352.      *
  353.      * @param string $table
  354.      *
  355.      * @return boolean
  356.      */
  357.     public function canEditFieldsOf($table)
  358.     {
  359.         if ($this->isAdmin)
  360.         {
  361.             return true;
  362.         }
  364.         return \count(preg_grep('/^' preg_quote($table'/') . '::/'$this->alexf)) > 0;
  365.     }
  367.     /**
  368.      * Restore the original numeric file mounts (see #5083)
  369.      */
  370.     public function save()
  371.     {
  372.         $filemounts $this->filemounts;
  374.         if (!empty($this->arrFilemountIds))
  375.         {
  376.             $this->arrData['filemounts'] = $this->arrFilemountIds;
  377.         }
  379.         parent::save();
  380.         $this->filemounts $filemounts;
  381.     }
  383.     /**
  384.      * Set all user properties from a database record
  385.      */
  386.     protected function setUserFromDb()
  387.     {
  388.         $this->intId $this->id;
  390.         // Unserialize values
  391.         foreach ($this->arrData as $k=>$v)
  392.         {
  393.             if (!is_numeric($v))
  394.             {
  395.                 $this->$k StringUtil::deserialize($v);
  396.             }
  397.         }
  399.         $GLOBALS['TL_USERNAME'] = $this->username;
  401.         Config::set('showHelp'$this->showHelp);
  402.         Config::set('useRTE'$this->useRTE);
  403.         Config::set('useCE'$this->useCE);
  404.         Config::set('thumbnails'$this->thumbnails);
  405.         Config::set('backendTheme'$this->backendTheme);
  406.         Config::set('fullscreen'$this->fullscreen);
  408.         // Inherit permissions
  409.         $always = array('alexf');
  410.         $depends = array('modules''themes''elements''fields''pagemounts''alpty''filemounts''fop''forms''formp''imageSizes''amg');
  412.         // HOOK: Take custom permissions
  413.         if (!empty($GLOBALS['TL_PERMISSIONS']) && \is_array($GLOBALS['TL_PERMISSIONS']))
  414.         {
  415.             $depends array_merge($depends$GLOBALS['TL_PERMISSIONS']);
  416.         }
  418.         // Overwrite user permissions if only group permissions shall be inherited
  419.         if ($this->inherit == 'group')
  420.         {
  421.             foreach ($depends as $field)
  422.             {
  423.                 $this->$field = array();
  424.             }
  425.         }
  427.         // Merge permissions
  428.         $inherit = \in_array($this->inherit, array('group''extend')) ? array_merge($always$depends) : $always;
  429.         $time Date::floorToMinute();
  431.         foreach ((array) $this->groups as $id)
  432.         {
  433.             $objGroup $this->Database->prepare("SELECT * FROM tl_user_group WHERE id=? AND disable!='1' AND (start='' OR start<='$time') AND (stop='' OR stop>'$time')")
  434.                                        ->limit(1)
  435.                                        ->execute($id);
  437.             if ($objGroup->numRows 0)
  438.             {
  439.                 foreach ($inherit as $field)
  440.                 {
  441.                     $value StringUtil::deserialize($objGroup->$fieldtrue);
  443.                     // The new page/file picker can return integers instead of arrays, so use empty() instead of is_array() and StringUtil::deserialize(true) here
  444.                     if (!empty($value))
  445.                     {
  446.                         $this->$field array_merge((\is_array($this->$field) ? $this->$field : ($this->$field ? array($this->$field) : array())), $value);
  447.                         $this->$field array_unique($this->$field);
  448.                     }
  449.                 }
  450.             }
  451.         }
  453.         // Make sure pagemounts and filemounts are set!
  454.         if (!\is_array($this->pagemounts))
  455.         {
  456.             $this->pagemounts = array();
  457.         }
  458.         else
  459.         {
  460.             $this->pagemounts array_filter($this->pagemounts);
  461.         }
  463.         if (!\is_array($this->filemounts))
  464.         {
  465.             $this->filemounts = array();
  466.         }
  467.         else
  468.         {
  469.             $this->filemounts array_filter($this->filemounts);
  470.         }
  472.         // Store the numeric file mounts
  473.         $this->arrFilemountIds $this->filemounts;
  475.         // Convert the file mounts into paths
  476.         if (!$this->isAdmin && !empty($this->filemounts))
  477.         {
  478.             $objFiles FilesModel::findMultipleByUuids($this->filemounts);
  480.             if ($objFiles !== null)
  481.             {
  482.                 $this->filemounts $objFiles->fetchEach('path');
  483.             }
  484.         }
  486.         // Hide the "admin" field if the user is not an admin (see #184)
  487.         if (!$this->isAdmin && ($index array_search('tl_user::admin'$this->alexf)) !== false)
  488.         {
  489.             unset($this->alexf[$index]);
  490.         }
  491.     }
  493.     /**
  494.      * Generate the navigation menu and return it as array
  495.      *
  496.      * @param boolean $blnShowAll
  497.      *
  498.      * @return array
  499.      */
  500.     public function navigation($blnShowAll=false)
  501.     {
  502.         /** @var RouterInterface $router */
  503.         $router System::getContainer()->get('router');
  505.         $arrModules = array();
  506.         $arrStatus System::getContainer()->get('session')->getBag('contao_backend')->get('backend_modules');
  507.         $strRefererId System::getContainer()->get('request_stack')->getCurrentRequest()->attributes->get('_contao_referer_id');
  509.         foreach ($GLOBALS['BE_MOD'] as $strGroupName=>$arrGroupModules)
  510.         {
  511.             if (!empty($arrGroupModules) && ($strGroupName == 'system' || $this->hasAccess(array_keys($arrGroupModules), 'modules')))
  512.             {
  513.                 $arrModules[$strGroupName]['class'] = 'group-' $strGroupName ' node-expanded';
  514.                 $arrModules[$strGroupName]['title'] = StringUtil::specialchars($GLOBALS['TL_LANG']['MSC']['collapseNode']);
  515.                 $arrModules[$strGroupName]['label'] = ($label = \is_array($GLOBALS['TL_LANG']['MOD'][$strGroupName] ?? null) ? ($GLOBALS['TL_LANG']['MOD'][$strGroupName][0] ?? null) : ($GLOBALS['TL_LANG']['MOD'][$strGroupName] ?? null)) ? $label $strGroupName;
  516.                 $arrModules[$strGroupName]['href'] = $router->generate('contao_backend', array('do'=>Input::get('do'), 'mtg'=>$strGroupName'ref'=>$strRefererId));
  517.                 $arrModules[$strGroupName]['ajaxUrl'] = $router->generate('contao_backend');
  518.                 $arrModules[$strGroupName]['icon'] = 'modPlus.gif'// backwards compatibility with e.g. EasyThemes
  520.                 foreach ($arrGroupModules as $strModuleName=>$arrModuleConfig)
  521.                 {
  522.                     // Check access
  523.                     $blnAccess = (isset($arrModuleConfig['disablePermissionChecks']) && $arrModuleConfig['disablePermissionChecks'] === true) || $this->hasAccess($strModuleName'modules');
  524.                     $blnHide = isset($arrModuleConfig['hideInNavigation']) && $arrModuleConfig['hideInNavigation'] === true;
  526.                     if ($blnAccess && !$blnHide)
  527.                     {
  528.                         $arrModules[$strGroupName]['modules'][$strModuleName] = $arrModuleConfig;
  529.                         $arrModules[$strGroupName]['modules'][$strModuleName]['title'] = StringUtil::specialchars($GLOBALS['TL_LANG']['MOD'][$strModuleName][1] ?? '');
  530.                         $arrModules[$strGroupName]['modules'][$strModuleName]['label'] = ($label = \is_array($GLOBALS['TL_LANG']['MOD'][$strModuleName] ?? null) ? ($GLOBALS['TL_LANG']['MOD'][$strModuleName][0] ?? null) : ($GLOBALS['TL_LANG']['MOD'][$strModuleName] ?? null)) ? $label $strModuleName;
  531.                         $arrModules[$strGroupName]['modules'][$strModuleName]['class'] = 'navigation ' $strModuleName;
  532.                         $arrModules[$strGroupName]['modules'][$strModuleName]['href'] = $router->generate('contao_backend', array('do'=>$strModuleName'ref'=>$strRefererId));
  533.                         $arrModules[$strGroupName]['modules'][$strModuleName]['isActive'] = false;
  534.                     }
  535.                 }
  536.             }
  537.         }
  539.         // HOOK: add custom logic
  540.         if (isset($GLOBALS['TL_HOOKS']['getUserNavigation']) && \is_array($GLOBALS['TL_HOOKS']['getUserNavigation']))
  541.         {
  542.             foreach ($GLOBALS['TL_HOOKS']['getUserNavigation'] as $callback)
  543.             {
  544.                 $this->import($callback[0]);
  545.                 $arrModules $this->{$callback[0]}->{$callback[1]}($arrModulestrue);
  546.             }
  547.         }
  549.         foreach ($arrModules as $strGroupName => $arrGroupModules)
  550.         {
  551.             $arrModules[$strGroupName]['isClosed'] = false;
  553.             // Do not show the modules if the group is closed
  554.             if (!$blnShowAll && isset($arrStatus[$strGroupName]) && $arrStatus[$strGroupName] < 1)
  555.             {
  556.                 $arrModules[$strGroupName]['class'] = str_replace('node-expanded'''$arrModules[$strGroupName]['class']) . ' node-collapsed';
  557.                 $arrModules[$strGroupName]['title'] = StringUtil::specialchars($GLOBALS['TL_LANG']['MSC']['expandNode']);
  558.                 $arrModules[$strGroupName]['isClosed'] = true;
  559.             }
  561.             if (isset($arrGroupModules['modules']) && \is_array($arrGroupModules['modules']))
  562.             {
  563.                 foreach ($arrGroupModules['modules'] as $strModuleName => $arrModuleConfig)
  564.                 {
  565.                     // Mark the active module and its group
  566.                     if (Input::get('do') == $strModuleName)
  567.                     {
  568.                         $arrModules[$strGroupName]['class'] .= ' trail';
  569.                         $arrModules[$strGroupName]['modules'][$strModuleName]['isActive'] = true;
  570.                     }
  571.                 }
  572.             }
  573.         }
  575.         return $arrModules;
  576.     }
  578.     /**
  579.      * {@inheritdoc}
  580.      */
  581.     public function getRoles()
  582.     {
  583.         if ($this->isAdmin)
  584.         {
  585.             return array('ROLE_USER''ROLE_ADMIN''ROLE_ALLOWED_TO_SWITCH''ROLE_ALLOWED_TO_SWITCH_MEMBER');
  586.         }
  588.         if (!empty($this->amg) && \is_array($this->amg))
  589.         {
  590.             return array('ROLE_USER''ROLE_ALLOWED_TO_SWITCH_MEMBER');
  591.         }
  593.         return $this->roles;
  594.     }
  596.     /**
  597.      * @deprecated Deprecated since Contao 4.9, to be removed in Contao 5.0.
  598.      */
  599.     public function serialize()
  600.     {
  601.         $data $this->__serialize();
  602.         $data['parent'] = serialize($data['parent']);
  604.         return serialize($data);
  605.     }
  607.     public function __serialize(): array
  608.     {
  609.         return array('admin' => $this->admin'amg' => $this->amg'parent' => parent::__serialize());
  610.     }
  612.     /**
  613.      * @deprecated Deprecated since Contao 4.9 to be removed in Contao 5.0.
  614.      */
  615.     public function unserialize($data)
  616.     {
  617.         $unserialized unserialize($data, array('allowed_classes'=>false));
  619.         if (!isset($unserialized['parent']))
  620.         {
  621.             return;
  622.         }
  624.         $unserialized['parent'] = unserialize($unserialized['parent'], array('allowed_classes'=>false));
  626.         $this->__unserialize($unserialized);
  627.     }
  629.     public function __unserialize(array $data): void
  630.     {
  631.         if (array_keys($data) != array('admin''amg''parent'))
  632.         {
  633.             return;
  634.         }
  636.         list($this->admin$this->amg$parent) = array_values($data);
  638.         parent::__unserialize($parent);
  639.     }
  641.     /**
  642.      * {@inheritdoc}
  643.      */
  644.     public function isEqualTo(UserInterface $user)
  645.     {
  646.         if (!$user instanceof self)
  647.         {
  648.             return false;
  649.         }
  651.         if ((bool) $this->admin !== (bool) $user->admin)
  652.         {
  653.             return false;
  654.         }
  656.         return parent::isEqualTo($user);
  657.     }
  658. }
  660. class_alias(BackendUser::class, 'BackendUser');