vendor/contao/core-bundle/src/Security/Voter/BackendAccessVoter.php line 20

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of Contao.
  7.  *
  8.  * (c) Leo Feyer
  9.  *
  10.  * @license LGPL-3.0-or-later
  11.  */
  13. namespace Contao\CoreBundle\Security\Voter;
  15. use Contao\BackendUser;
  16. use Contao\PageModel;
  17. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  18. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  20. class BackendAccessVoter extends Voter
  21. {
  22.     private const PAGE_PERMISSIONS = [
  23.         'can_edit_page' => BackendUser::CAN_EDIT_PAGE,
  24.         'can_edit_page_hierarchy' => BackendUser::CAN_EDIT_PAGE_HIERARCHY,
  25.         'can_delete_page' => BackendUser::CAN_DELETE_PAGE,
  26.         'can_edit_articles' => BackendUser::CAN_EDIT_ARTICLES,
  27.         'can_edit_article_hierarchy' => BackendUser::CAN_EDIT_ARTICLE_HIERARCHY,
  28.         'can_delete_articles' => BackendUser::CAN_DELETE_ARTICLES,
  29.     ];
  31.     protected function supports($attribute$subject): bool
  32.     {
  33.         return \is_string($attribute) && === strncmp($attribute'contao_user.'12);
  34.     }
  36.     protected function voteOnAttribute($attribute$subjectTokenInterface $token): bool
  37.     {
  38.         $user $token->getUser();
  40.         if (!$user instanceof BackendUser) {
  41.             return false;
  42.         }
  44.         $permission explode('.'$attribute3);
  46.         if ('contao_user' !== $permission[0] || !isset($permission[1])) {
  47.             return false;
  48.         }
  50.         $field $permission[1];
  52.         if (!$subject && isset($permission[2])) {
  53.             $subject $permission[2];
  54.         }
  56.         if ('can_edit_fields' === $field) {
  57.             return $this->canEditFieldsOf($subject$user);
  58.         }
  60.         if (isset(self::PAGE_PERMISSIONS[$field])) {
  61.             return $this->isAllowed($subjectself::PAGE_PERMISSIONS[$field], $user);
  62.         }
  64.         return $this->hasAccess($subject$field$user);
  65.     }
  67.     /**
  68.      * Checks the user permissions against a field in tl_user(_group).
  69.      */
  70.     private function hasAccess($subjectstring $fieldBackendUser $user): bool
  71.     {
  72.         if (!is_scalar($subject) && !\is_array($subject)) {
  73.             return false;
  74.         }
  76.         return $user->hasAccess($subject$field);
  77.     }
  79.     /**
  80.      * Checks if the user has access to a given page (tl_page.includeChmod et al.).
  81.      */
  82.     private function isAllowed($subjectint $flagBackendUser $user): bool
  83.     {
  84.         if ($subject instanceof PageModel) {
  85.             $subject->loadDetails();
  86.             $subject $subject->row();
  87.         }
  89.         if (!\is_array($subject)) {
  90.             return false;
  91.         }
  93.         return $user->isAllowed($flag$subject);
  94.     }
  96.     /**
  97.      * Checks if the user has access to any field of a table (against tl_user(_group).alexf).
  98.      */
  99.     private function canEditFieldsOf($subjectBackendUser $user): bool
  100.     {
  101.         if (!\is_string($subject)) {
  102.             return false;
  103.         }
  105.         return $user->canEditFieldsOf($subject);
  106.     }
  107. }