vendor/symfony/security-core/Authorization/AccessDecisionManager.php line 24

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\Security\Core\Authorization;
  14. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  15. use Symfony\Component\Security\Core\Authorization\Voter\VoterInterface;
  16. use Symfony\Component\Security\Core\Exception\InvalidArgumentException;
  18. /**
  19.  * AccessDecisionManager is the base class for all access decision managers
  20.  * that use decision voters.
  21.  *
  22.  * @author Fabien Potencier <fabien@symfony.com>
  23.  */
  24. class AccessDecisionManager implements AccessDecisionManagerInterface
  25. {
  26.     public const STRATEGY_AFFIRMATIVE 'affirmative';
  27.     public const STRATEGY_CONSENSUS 'consensus';
  28.     public const STRATEGY_UNANIMOUS 'unanimous';
  29.     public const STRATEGY_PRIORITY 'priority';
  31.     private $voters;
  32.     private $strategy;
  33.     private $allowIfAllAbstainDecisions;
  34.     private $allowIfEqualGrantedDeniedDecisions;
  36.     /**
  37.      * @param iterable|VoterInterface[] $voters                             An array or an iterator of VoterInterface instances
  38.      * @param string                    $strategy                           The vote strategy
  39.      * @param bool                      $allowIfAllAbstainDecisions         Whether to grant access if all voters abstained or not
  40.      * @param bool                      $allowIfEqualGrantedDeniedDecisions Whether to grant access if result are equals
  41.      *
  42.      * @throws \InvalidArgumentException
  43.      */
  44.     public function __construct(iterable $voters = [], string $strategy self::STRATEGY_AFFIRMATIVEbool $allowIfAllAbstainDecisions falsebool $allowIfEqualGrantedDeniedDecisions true)
  45.     {
  46.         $strategyMethod 'decide'.ucfirst($strategy);
  47.         if ('' === $strategy || !\is_callable([$this$strategyMethod])) {
  48.             throw new \InvalidArgumentException(sprintf('The strategy "%s" is not supported.'$strategy));
  49.         }
  51.         $this->voters $voters;
  52.         $this->strategy $strategyMethod;
  53.         $this->allowIfAllAbstainDecisions $allowIfAllAbstainDecisions;
  54.         $this->allowIfEqualGrantedDeniedDecisions $allowIfEqualGrantedDeniedDecisions;
  55.     }
  57.     /**
  58.      * @param bool $allowMultipleAttributes Whether to allow passing multiple values to the $attributes array
  59.      *
  60.      * {@inheritdoc}
  61.      */
  62.     public function decide(TokenInterface $token, array $attributes$object null/*, bool $allowMultipleAttributes = false*/)
  63.     {
  64.         $allowMultipleAttributes < \func_num_args() && func_get_arg(3);
  66.         // Special case for AccessListener, do not remove the right side of the condition before 6.0
  67.         if (\count($attributes) > && !$allowMultipleAttributes) {
  68.             throw new InvalidArgumentException(sprintf('Passing more than one Security attribute to "%s()" is not supported.'__METHOD__));
  69.         }
  71.         return $this->{$this->strategy}($token$attributes$object);
  72.     }
  74.     /**
  75.      * Grants access if any voter returns an affirmative response.
  76.      *
  77.      * If all voters abstained from voting, the decision will be based on the
  78.      * allowIfAllAbstainDecisions property value (defaults to false).
  79.      */
  80.     private function decideAffirmative(TokenInterface $token, array $attributes$object null): bool
  81.     {
  82.         $deny 0;
  83.         foreach ($this->voters as $voter) {
  84.             $result $voter->vote($token$object$attributes);
  86.             if (VoterInterface::ACCESS_GRANTED === $result) {
  87.                 return true;
  88.             }
  90.             if (VoterInterface::ACCESS_DENIED === $result) {
  91.                 ++$deny;
  92.             }
  93.         }
  95.         if ($deny 0) {
  96.             return false;
  97.         }
  99.         return $this->allowIfAllAbstainDecisions;
  100.     }
  102.     /**
  103.      * Grants access if there is consensus of granted against denied responses.
  104.      *
  105.      * Consensus means majority-rule (ignoring abstains) rather than unanimous
  106.      * agreement (ignoring abstains). If you require unanimity, see
  107.      * UnanimousBased.
  108.      *
  109.      * If there were an equal number of grant and deny votes, the decision will
  110.      * be based on the allowIfEqualGrantedDeniedDecisions property value
  111.      * (defaults to true).
  112.      *
  113.      * If all voters abstained from voting, the decision will be based on the
  114.      * allowIfAllAbstainDecisions property value (defaults to false).
  115.      */
  116.     private function decideConsensus(TokenInterface $token, array $attributes$object null): bool
  117.     {
  118.         $grant 0;
  119.         $deny 0;
  120.         foreach ($this->voters as $voter) {
  121.             $result $voter->vote($token$object$attributes);
  123.             if (VoterInterface::ACCESS_GRANTED === $result) {
  124.                 ++$grant;
  125.             } elseif (VoterInterface::ACCESS_DENIED === $result) {
  126.                 ++$deny;
  127.             }
  128.         }
  130.         if ($grant $deny) {
  131.             return true;
  132.         }
  134.         if ($deny $grant) {
  135.             return false;
  136.         }
  138.         if ($grant 0) {
  139.             return $this->allowIfEqualGrantedDeniedDecisions;
  140.         }
  142.         return $this->allowIfAllAbstainDecisions;
  143.     }
  145.     /**
  146.      * Grants access if only grant (or abstain) votes were received.
  147.      *
  148.      * If all voters abstained from voting, the decision will be based on the
  149.      * allowIfAllAbstainDecisions property value (defaults to false).
  150.      */
  151.     private function decideUnanimous(TokenInterface $token, array $attributes$object null): bool
  152.     {
  153.         $grant 0;
  154.         foreach ($this->voters as $voter) {
  155.             foreach ($attributes as $attribute) {
  156.                 $result $voter->vote($token$object, [$attribute]);
  158.                 if (VoterInterface::ACCESS_DENIED === $result) {
  159.                     return false;
  160.                 }
  162.                 if (VoterInterface::ACCESS_GRANTED === $result) {
  163.                     ++$grant;
  164.                 }
  165.             }
  166.         }
  168.         // no deny votes
  169.         if ($grant 0) {
  170.             return true;
  171.         }
  173.         return $this->allowIfAllAbstainDecisions;
  174.     }
  176.     /**
  177.      * Grant or deny access depending on the first voter that does not abstain.
  178.      * The priority of voters can be used to overrule a decision.
  179.      *
  180.      * If all voters abstained from voting, the decision will be based on the
  181.      * allowIfAllAbstainDecisions property value (defaults to false).
  182.      */
  183.     private function decidePriority(TokenInterface $token, array $attributes$object null)
  184.     {
  185.         foreach ($this->voters as $voter) {
  186.             $result $voter->vote($token$object$attributes);
  188.             if (VoterInterface::ACCESS_GRANTED === $result) {
  189.                 return true;
  190.             }
  192.             if (VoterInterface::ACCESS_DENIED === $result) {
  193.                 return false;
  194.             }
  195.         }
  197.         return $this->allowIfAllAbstainDecisions;
  198.     }
  199. }