src/Security/Voter/ProcesVervalVoter.php line 11

Open in your IDE?
  1. <?php
  3. namespace App\Security\Voter;
  5. use App\Entity\ProcesVerval;
  6. use App\Entity\User;
  7. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  8. use Symfony\Component\Security\Core\Authorization\Voter\Voter;
  9. use Symfony\Component\Security\Core\Security;
  11. class ProcesVervalVoter extends Voter
  12. {
  13.     const VIEW 'view';
  14.     const EDIT 'edit';
  15.     const DELETE 'delete';
  17.     private Security $security;
  19.     public function __construct(Security $security)
  20.     {
  21.         $this->security $security;
  22.     }
  24.     protected function supports(string $attribute$subject): bool
  25.     {
  26.         return in_array($attribute, [self::VIEWself::EDITself::DELETE])
  27.             && $subject instanceof ProcesVerval;
  28.     }
  30.     protected function voteOnAttribute(string $attribute$subjectTokenInterface $token): bool
  31.     {
  32.         $user $token->getUser();
  34.         // User must be logged in
  35.         if (!$user instanceof User) {
  36.             return false;
  37.         }
  39.         // Admin can do everything
  40.         if ($this->security->isGranted('ROLE_ADMIN')) {
  41.             return true;
  42.         }
  44.         /** @var ProcesVerval $procesVerval */
  45.         $procesVerval $subject;
  47.         switch ($attribute) {
  48.             case self::VIEW:
  49.                 return $this->canView($procesVerval$user);
  50.             case self::EDIT:
  51.                 return $this->canEdit($procesVerval$user);
  52.             case self::DELETE:
  53.                 return $this->canDelete($procesVerval$user);
  54.         }
  56.         return false;
  57.     }
  59.     /**
  60.      * User can view if:
  61.      * - They are the owner (created the PV)
  62.      * - They belong to the same client organization
  63.      * - Legacy mode: PV has no owner set (created before migration)
  64.      */
  65.     private function canView(ProcesVerval $procesVervalUser $user): bool
  66.     {
  67.         // Legacy mode: if PV has no user/client set, allow access
  68.         // This handles records created before the migration was run
  69.         if ($procesVerval->getUser() === null && $procesVerval->getClient() === null) {
  70.             return true;
  71.         }
  73.         // Owner can always view
  74.         if ($procesVerval->getUser() === $user) {
  75.             return true;
  76.         }
  78.         // User from same client can view
  79.         $pvClient $procesVerval->getClient();
  80.         $userClient $user->getClient();
  82.         if ($pvClient !== null && $userClient !== null && $pvClient === $userClient) {
  83.             return true;
  84.         }
  86.         return false;
  87.     }
  89.     /**
  90.      * User can edit if:
  91.      * - They can view it
  92.      * - The PV is editable (draft or in_progress)
  93.      */
  94.     private function canEdit(ProcesVerval $procesVervalUser $user): bool
  95.     {
  96.         // Must be able to view first
  97.         if (!$this->canView($procesVerval$user)) {
  98.             return false;
  99.         }
  101.         // PV must be editable (not completed)
  102.         return $procesVerval->isEditable();
  103.     }
  105.     /**
  106.      * User can delete if:
  107.      * - They are the owner (or legacy mode: no owner set)
  108.      * - The PV is not completed
  109.      */
  110.     private function canDelete(ProcesVerval $procesVervalUser $user): bool
  111.     {
  112.         // Legacy mode: if PV has no owner, allow delete
  113.         $pvUser $procesVerval->getUser();
  114.         if ($pvUser !== null && $pvUser !== $user) {
  115.             return false;
  116.         }
  118.         // Can't delete completed PVs
  119.         return $procesVerval->isEditable();
  120.     }
  121. }