feat(core) : RBAC #345 - PermissionVoter symfony
This commit is contained in:
Matthieu
66
src/Module/Core/Infrastructure/Security/PermissionVoter.php
Normal file
66
src/Module/Core/Infrastructure/Security/PermissionVoter.php
Normal file
@@ -0,0 +1,66 @@
|
||||
<?php
|
||||
|
||||
declare(strict_types=1);
|
||||
|
||||
namespace App\Module\Core\Infrastructure\Security;
|
||||
|
||||
use App\Module\Core\Domain\Entity\User;
|
||||
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
|
||||
use Symfony\Component\Security\Core\Authorization\Voter\Vote;
|
||||
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
|
||||
|
||||
/**
|
||||
* Voter RBAC qui evalue les codes de permission metier au format
|
||||
* "module.resource.action" (ex: "core.users.view").
|
||||
*
|
||||
* - Ignore silencieusement les attributs non-RBAC (ROLE_*, IS_AUTHENTICATED_*, ...),
|
||||
* qui restent traites par les voters core de Symfony. Strategy 'affirmative'
|
||||
* par defaut : tant qu'un voter repond GRANTED, l'acces est accorde.
|
||||
* - Bypass total si l'utilisateur porte le flag isAdmin (decision architecturale
|
||||
* gravee au ticket #343 section 11 : is_admin est le seul levier technique
|
||||
* de bypass, jamais remplace par un check de role).
|
||||
* - Sinon, compare l'attribut aux permissions effectives de l'utilisateur
|
||||
* (union dedupliquee triee venant des roles et des permissions directes).
|
||||
*
|
||||
* @extends Voter<string, mixed>
|
||||
*/
|
||||
final class PermissionVoter extends Voter
|
||||
{
|
||||
/**
|
||||
* Regex de reconnaissance des codes de permission.
|
||||
*
|
||||
* Contraintes :
|
||||
* - Premier caractere alphabetique minuscule (pas de chiffre, pas de ROLE_).
|
||||
* - Au moins un point de separation (ecarte les attributs atomiques
|
||||
* type ROLE_ADMIN ou IS_AUTHENTICATED_FULLY).
|
||||
* - Segments en snake_case minuscule coherents avec les permissions
|
||||
* declarees par les *Module::permissions() et validees par app:sync-permissions.
|
||||
*/
|
||||
private const string PERMISSION_CODE_PATTERN = '/^[a-z][a-z0-9_]*(\.[a-z][a-z0-9_]*)+$/';
|
||||
|
||||
protected function supports(string $attribute, mixed $subject): bool
|
||||
{
|
||||
return (bool) preg_match(self::PERMISSION_CODE_PATTERN, $attribute);
|
||||
}
|
||||
|
||||
protected function voteOnAttribute(string $attribute, mixed $subject, TokenInterface $token, ?Vote $vote = null): bool
|
||||
{
|
||||
$user = $token->getUser();
|
||||
|
||||
if (!$user instanceof User) {
|
||||
// Token anonyme ou user d'un autre type : on refuse explicitement.
|
||||
// Les voters core (AuthenticatedVoter) se chargent deja du cas
|
||||
// "pas authentifie du tout".
|
||||
return false;
|
||||
}
|
||||
|
||||
if ($user->isAdmin()) {
|
||||
// Bypass total : decision architecturale #343 section 11.
|
||||
// Cette regle est dupliquee cote front dans usePermissions()
|
||||
// et les deux doivent bouger ensemble si elle evolue un jour.
|
||||
return true;
|
||||
}
|
||||
|
||||
return in_array($attribute, $user->getEffectivePermissions(), true);
|
||||
}
|
||||
}
|
||||
Reference in New Issue
Block a user