src/Security/ModuleAccessVoter.php line 21

Open in your IDE?
  1. <?php
  3. namespace App\Security;
  5. use App\Entity\User;
  6. use App\Service\Security\PermissionChecker;
  7. use Psr\Log\LoggerInterface;
  8. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  9. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  11. /**
  12.  * ModuleAccessVoter — @IsGranted ile route'lara deklaratif modul/section kapisi.
  13.  *
  14.  * Attribute grameri (FE getPermission / getFeatureAccess ile birebir):
  15.  *   - "MODULE:<moduleKey>:<r|c|u|d>"            ornek: MODULE:billing:u
  16.  *   - "SECTION:<moduleKey>:<sectionKey>:<r|u>"  ornek: SECTION:project:payment_report:r
  17.  *
  18.  * Report-only modu ($enforce=false): gercek karari LOGLAR ama bloklamadan gecirir.
  19.  * Boylece eksik grant / yanlis key'ler canlida kesfedilir, sonra enforce'a gecilir.
  20.  */
  21. class ModuleAccessVoter extends Voter
  22. {
  23.     private $permissionChecker;
  24.     private $logger;
  25.     private $enforce;
  27.     public function __construct(PermissionChecker $permissionCheckerLoggerInterface $loggerbool $permissionEnforce)
  28.     {
  29.         $this->permissionChecker $permissionChecker;
  30.         $this->logger $logger;
  31.         $this->enforce $permissionEnforce;
  32.     }
  34.     protected function supports($attribute$subject)
  35.     {
  36.         return is_string($attribute)
  37.             && (strpos($attribute'MODULE:') === || strpos($attribute'SECTION:') === 0);
  38.     }
  40.     protected function voteOnAttribute($attribute$subjectTokenInterface $token)
  41.     {
  42.         $user $token->getUser();
  43.         if (!$user instanceof User) {
  44.             return false// kimlik yok -> deny (auth katmani zaten kapi)
  45.         }
  47.         $allowed $this->resolve($user$attribute);
  49.         // Report-only: bloklama, sadece logla -> eksikleri kesfet.
  50.         if (!$this->enforce) {
  51.             if (!$allowed) {
  52.                 $this->logger->warning('[permission report-only] would-deny', [
  53.                     'user'      => method_exists($user'getEmail') ? $user->getEmail() : null,
  54.                     'attribute' => $attribute
  55.                 ]);
  56.             }
  57.             return true;
  58.         }
  60.         return $allowed;
  61.     }
  63.     private function resolve(User $userstring $attribute): bool
  64.     {
  65.         $parts explode(':'$attribute);
  66.         $type  $parts[0];
  68.         if ($type === 'MODULE' && count($parts) === 3) {
  69.             return $this->permissionChecker->moduleCan($user$parts[1], $parts[2]);
  70.         }
  72.         if ($type === 'SECTION' && count($parts) === 4) {
  73.             return $this->permissionChecker->sectionCan($user$parts[1], $parts[2], $parts[3]);
  74.         }
  76.         // Tanimsiz format -> guvenli taraf: enforce'ta deny.
  77.         $this->logger->error('[permission] malformed attribute', ['attribute' => $attribute]);
  78.         return false;
  79.     }
  80. }