src/Security/Voter/Messenger/ConversationMessageVoter.php line 11

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter\Messenger;
  5. use App\Entity\ConversationMessage;
  6. use App\Security\ApiUser;
  7. use App\Service\User\MemberOperatorService;
  8. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  9. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  11. class ConversationMessageVoter extends Voter
  12. {
  13.     public const DELETE 'delete';
  14.     public const HEART 'heart';
  15.     public const BUY_ATTACHMENT 'buy_attachment';
  16.     public const READ 'read';
  18.     protected function supports(string $attribute$subject): bool
  19.     {
  20.         if (!$subject instanceof ConversationMessage) {
  21.             return false;
  22.         }
  24.         return in_array($attribute, [
  25.             self::DELETE,
  26.             self::READ,
  27.             self::HEART,
  28.             self::BUY_ATTACHMENT,
  29.         ], true);
  30.     }
  32.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  33.     {
  34.         /**
  35.          * @var $user ApiUser
  36.          */
  37.         $user $token->getUser();
  39.         if (!$user instanceof ApiUser) {
  40.             return false;
  41.         }
  43.         switch ($attribute) {
  44.             case self::HEART:
  45.                 return $this->canHeart($subject$user);
  46.             case self::DELETE:
  47.                 return $this->canDelete($subject$user);
  48.             case self::READ:
  49.                 return $this->canRead($subject$user);
  50.             case self::BUY_ATTACHMENT:
  51.                 return $this->canBuyAttachment($subject$user);
  52.         }
  54.         return false;
  55.     }
  57.     protected function canRead(ConversationMessage $messageApiUser $user): bool
  58.     {
  59.         $userMember $user->getMember();
  61.         // gitlab #435
  62.         if ($user->getIsAdmin()) {
  63.             return true;
  64.         }
  66.         // easier to determine
  67.         if ($message->getMember()->getId() === $userMember->getId()) {
  68.             return true;
  69.         }
  70.         foreach ($message->getConversation()->getRoutes() as $route) {
  71.             $from $route->getFromMember();
  72.             if ($from->getId() == $userMember->getId()) {
  73.                 return true;
  74.             }
  75.             if ($user->getIsOperator() && MemberOperatorService::isMemberOperatedByUser($from$user)) {
  76.                 return true;
  77.             }
  78.         }
  80.         return false;
  81.     }
  83.     protected function canDelete(ConversationMessage $messageApiUser $user): bool
  84.     {
  85.         return $message->getMember()->getId() == $user->getMember()->getId();
  86.     }
  88.     protected function canHeart(ConversationMessage $messageApiUser $user): bool
  89.     {
  90.         if (!$this->canRead($message$user)) {
  91.             return false;
  92.         }
  94.         // can only heart a message from someone else, not yourself
  95.         return $message->getMember()->getId() !== $user->getMember()->getId();
  96.     }
  98.     protected function canBuyAttachment(ConversationMessage $messageApiUser $user): bool
  99.     {
  100.         // already bought
  101.         if ($message->getPurchase()) {
  102.             return false;
  103.         }
  105.         // accessor (user) not part of the Conversation
  106.         if (!$this->canRead($message$user)) {
  107.             return false;
  108.         }
  110.         // only, if the sender is not equal to the accessor.
  111.         // so you cant buy attachments for messages you've sent
  112.         return $message->getMember()->getId() !== $user->getMember()->getId();
  113.     }
  114. }