Пользовательская иерархия ролей Symfony2
Я пытаюсь создать собственного избирателя для проверки доступа к объектам для конкретных действий. Так что логика для этого работает нормально. Но тогда у меня есть некоторые действия, которые разрешены, если пользователь является "владельцем" этой сущности или он является администратором.
Однако я не могу просто проверить роль пользователя, потому что я смотрю на иерархию ролей. Пример в документации для этого просто использует in_array, но это не сработает ( http://symfony.com/doc/current/best_practices/security.html)
Мой избиратель такой (сокращен для ясности). Я пытался внедрить контекст безопасности (или, в частности, AuthorizationCheckerInterface в 2.6), но это имеет циклическую зависимость, так как это избиратель.
<?php
// ...
class ApplicationVoter extends AbstractVoter
{
const VIEW = 'view';
/**
* @var AuthorizationCheckerInterface
*/
private $security;
/*public function __construct(AuthorizationCheckerInterface $security)
{
$this->security = $security;
}*/
/**
* {@inheritdoc}
*/
protected function getSupportedAttributes()
{
return array(
self::VIEW
);
}
/**
* {@inheritdoc}
*/
protected function getSupportedClasses()
{
return array('Study\MainBundle\Entity\Application');
}
/**
* {@inheritdoc}
*/
protected function isGranted($attribute, $application, $user = null)
{
if (!$user instanceof UserInterface) {
return false;
}
if ($attribute === self::VIEW) {
return $this->canView($application, $user);
}
return false;
}
/**
* Can view own application if not deleted
* Admin can view if submitted
*
* @param \Study\MainBundle\Entity\Application $application
* @param \Study\MainBundle\Entity\User $user
*
* @return boolean
*/
protected function canView(Application $application, User $user)
{
return ($application->isOwner($user) && !$application->isDeleted())
|| (!$application->isHiddenToAdmin() && $this->security->isGranted('ROLE_ADMIN_RO'));
}
}
Я хотел бы просто использовать встроенный RoleHiearchyVoter здесь, но это не публичный сервис. Есть ли какое-то решение для этого? Я хотел бы избежать дублирования кода инфраструктуры или усложнения моих ролей, чем просто строк, если это возможно.
РЕДАКТИРОВАТЬ: Впрыскивание всего контейнера работает, но не мое идеальное решение. Это единственный способ получить доступ к встроенной иерархии от избирателя?
1 ответ
Существует сервис под названием security.role_hierarchy, в котором есть нужная вам информация. Это в основном то, как контекст безопасности проверяет роли. Нужно несколько строк кода-обертки, но это не так уж плохо.
# Need this because the service is not public
# http://symfony.com/doc/current/components/dependency_injection/advanced.html
cerad_core__role_hierarchy:
alias: security.role_hierarchy
cerad_game__game_official__voter:
class: Cerad\Bundle\GameBundle\Action\GameOfficial\GameOfficialVoter
public: false
arguments:
- '@cerad_core__role_hierarchy'
tags:
- { name: security.voter }
Класс избирателя:
class GameOfficialVoter implements VoterInterface
{
public function __construct($roleHierarchy)
{
$this->roleHierarchy = $roleHierarchy;
}
protected function hasRole($token,$targetRole)
{
$reachableRoles = $this->roleHierarchy->getReachableRoles($token->getRoles());
foreach($reachableRoles as $role)
{
if ($role->getRole() == $targetRole) return true;
}
return false;
}
protected function canViewOfficialName($official,$token)
{
// Pending is the only one protected against for now
if ($official->getAssignState() != 'Pending') return $this->accessGranted;
// Assignors can always see
if ($this->hasRole($token,'ROLE_ASSIGNOR')) return $this->accessGranted;
return $this->accessDenied;
}
}