src/Security/PropietarioContenidoAuthorizationService.php line 38

Open in your IDE?
  1. <?php
  3. namespace App\Security;
  5. use App\Entity\ConsorciPropietarioContenido;
  6. use App\Entity\PropietarioContenido;
  7. use App\Entity\PropietarioContenidoHasUsuarioHermes;
  8. use App\Entity\UsuarioHermes;
  9. use App\Enum\RolEnum;
  10. use App\Interfaces\UsuarioHermesRepositoryInterface;
  12. use App\Services\AsymmetricEncryptionService;
  13. use Symfony\Component\HttpFoundation\RedirectResponse;
  14. use Symfony\Component\HttpFoundation\RequestStack;
  15. use Symfony\Component\HttpFoundation\Session\Flash\FlashBagInterface;
  16. use Symfony\Component\Routing\Generator\UrlGeneratorInterface;
  18. use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorageInterface;
  19. use Symfony\Component\Security\Core\Security;
  20. use Symfony\Component\Security\Http\Authenticator\Token\PostAuthenticationToken;
  22. /**
  23. * Servicio para controlar el acceso a recursos protegidos basado en la relación
  24. * entre UsuarioHermes y PropietarioContenido.
  25. */
  26. class PropietarioContenidoAuthorizationService
  27. {
  28. private FlashBagInterface $flashBag;
  30. public function __construct(
  31. private TokenStorageInterface $tokenStorage,
  32. private Security $security,
  33. private UrlGeneratorInterface $urlGenerator,
  34. private RequestStack $requestStack,
  35. private AsymmetricEncryptionService $asymmetricEncryptionService,
  36. private UsuarioHermesRepositoryInterface $usuarioHermesRepository,
  37. ) {
  38. $this->flashBag = $this->requestStack->getSession()->getFlashBag();
  39. }
  41. /**
  42. * Verifica si el usuario tiene acceso a recursos asociados a los tipos de PropietarioContenido especificados.
  43. *
  44. * @param array $rolesPermitidos Array de roles permitidos de RolEnum (ej. [RolEnum::PARTICIPANTE, RolEnum::FORMADOR])
  45. * @param string|null $rolEsperado Rol esperado para este recurso (opcional)
  46. * @param bool $redirectOnFailure Si debe redirigir al usuario en caso de fallo de autorización
  47. * @param bool $throwException Si debe lanzar excepciones personalizadas en lugar de devolver false
  48. * @param string $severityLevel Nivel de severidad para los mensajes de error (info, warning, error, critical)
  49. * @return bool|RedirectResponse True si autorizado, RedirectResponse si no autorizado y redirectOnFailure=true
  50. * @throws \App\Exception\Authorization\PropietarioContenidoAuthorizationException Si el acceso es denegado y $throwException=true
  51. */
  52. public function verificarAcceso(
  53. array $rolesPermitidos,
  54. ?string $rolEsperado = null,
  55. bool $redirectOnFailure = true,
  56. bool $throwException = false,
  57. string $severityLevel = \App\Exception\Authorization\PropietarioContenidoAuthorizationException::SEVERITY_ERROR
  58. ) {
  59. // --- INICIO: Lógica de Autologin ---
  60. $request = $this->requestStack->getCurrentRequest();
  61. if ($request && $tokenParam = $request->query->get('autologinToken')) {
  62. try {
  63. $decryptedPayload = $this->asymmetricEncryptionService->hybridDecrypt($tokenParam);
  65. // Validar expiración y payload
  66. if (is_array($decryptedPayload) && isset($decryptedPayload['userId'], $decryptedPayload['expires']) && $decryptedPayload['expires'] > time()) {
  68. $user = $this->usuarioHermesRepository->findById($decryptedPayload['userId']);
  70. if ($user) {
  71. // Seleccionar automáticamente el primer PropietarioContenido activo
  72. $propietarioSeleccionado = $this->seleccionarPropietarioContenidoActivo($user);
  74. // Crear y almacenar el token de autenticación
  75. $authToken = new PostAuthenticationToken($user, 'main', $user->getRoles() ?? []);
  76. $this->tokenStorage->setToken($authToken);
  78. // Guardar en sesión
  79. $session = $this->requestStack->getSession();
  80. $session->set('_security_main', serialize($authToken));
  82. // Guardar PropietarioContenido y rol activo en la sesión si se seleccionó uno
  83. if ($propietarioSeleccionado) {
  84. $rolSeleccionado = RolEnum::getRolFromClass(get_class($propietarioSeleccionado));
  85. if ($rolSeleccionado) {
  86. $session->set('rol', $rolSeleccionado);
  87. }
  88. }
  90. $session->save();
  92. // Redirigir a la misma URL pero sin el token para limpiarla
  93. $queryParams = $request->query->all();
  94. unset($queryParams['autologinToken']);
  95. $redirectUrl = $this->urlGenerator->generate($request->attributes->get('_route'), array_merge($request->attributes->get('_route_params'), $queryParams));
  97. return new RedirectResponse($redirectUrl);
  98. }
  99. }
  100. } catch (\Exception $e) {
  101. // Token inválido o expirado. Mostrar mensaje flash y continuar flujo normal.
  102. $this->flashBag->add('error', 'El enlace de acceso automático ha expirado o no es válido. Por favor, inicie sesión normalmente.');
  103. }
  104. }
  105. // --- FIN: Lógica de Autologin ---
  107. // Verificar si hay usuario logueado
  108. $token = $this->tokenStorage->getToken();
  109. if (!$token || !$this->security->isGranted('IS_AUTHENTICATED_FULLY')) {
  110. if ($throwException) {
  111. throw new \App\Exception\Authorization\NoUserException(
  112. 'Debe iniciar sesión para acceder a este recurso.',
  113. $severityLevel
  114. );
  115. }
  117. if ($redirectOnFailure) {
  118. $this->flashBag->add('error', 'Debe iniciar sesión para acceder a este recurso.');
  119. return new RedirectResponse($this->urlGenerator->generate('login_request_credentials'));
  120. }
  122. return false;
  123. }
  125. /** @var UsuarioHermes $usuario */
  126. $usuario = $token->getUser();
  128. // Obtener relaciones del usuario con PropietarioContenido
  129. $propietarioRelaciones = $usuario->getPropietarioContenidoHasUsuarioHermes();
  131. if ($propietarioRelaciones->isEmpty()) {
  132. if ($throwException) {
  133. throw new \App\Exception\Authorization\NoRelationsException(
  134. 'Su cuenta no está asociada a ninguna entidad.',
  135. $severityLevel
  136. );
  137. }
  139. if ($redirectOnFailure) {
  140. $this->flashBag->add('error', 'Su cuenta no está asociada a ninguna entidad.');
  141. return new RedirectResponse($this->urlGenerator->generate('home'));
  142. }
  144. return false;
  145. }
  147. // Buscar si hay al menos un PropietarioContenido del tipo permitido
  148. $coincidenciaEncontrada = false;
  149. $relacionSinValidar = false;
  151. foreach ($propietarioRelaciones as $relacion) {
  152. $propietarioContenido = $relacion->getPropietarioContenido();
  153. $rolPropietario = RolEnum::getRolFromClass(get_class($propietarioContenido));
  155. if ($rolPropietario && in_array($rolPropietario, $rolesPermitidos)) {
  156. // Verificar si la relación está validada
  157. if ($relacion->getValidatedAt() === null) {
  158. $relacionSinValidar = true;
  159. continue;
  160. }
  162. // Si se requiere un rol específico, verificar que el usuario lo tenga
  163. if ($rolEsperado !== null && !$this->security->isGranted($rolEsperado)) {
  164. if ($throwException) {
  165. throw new \App\Exception\Authorization\IncorrectRoleException(
  166. $rolEsperado,
  167. 'Para acceder a este recurso necesita cambiar a un rol diferente.',
  168. $severityLevel
  169. );
  170. }
  172. if ($redirectOnFailure) {
  173. $this->flashBag->add('warning', 'Para acceder a este recurso necesita cambiar a un rol diferente.');
  174. return new RedirectResponse($this->urlGenerator->generate('home'));
  175. }
  177. return false;
  178. }
  180. $coincidenciaEncontrada = true;
  182. // FIX-INC-733-H3: setea propietario_contenido_id_activo cuando session NULL
  183. // o el id activo no corresponde al tipo del rol del propietario validado.
  184. $session = $this->requestStack->getSession();
  185. $propietarioActivoId = $session->get('propietario_contenido_id_activo');
  186. $needsUpdate = false;
  187. if ($propietarioActivoId === null) {
  188. $needsUpdate = true;
  189. } else {
  190. // Comprobar si el id activo en sesion corresponde al tipo de rol validado
  191. $matchTipo = false;
  192. foreach ($propietarioRelaciones as $rel2) {
  193. $pc2 = $rel2->getPropietarioContenido();
  194. if ($pc2->getId() === $propietarioActivoId
  195. && RolEnum::getRolFromClass(get_class($pc2)) === $rolPropietario) {
  196. $matchTipo = true;
  197. break;
  198. }
  199. }
  200. if (!$matchTipo) {
  201. $needsUpdate = true;
  202. }
  203. }
  204. if ($needsUpdate) {
  205. $session->set('propietario_contenido_id_activo', $propietarioContenido->getId());
  206. }
  208. break;
  209. }
  210. }
  212. // Si hay una relación sin validar pero ninguna validada
  213. if (!$coincidenciaEncontrada && $relacionSinValidar) {
  214. if ($throwException) {
  215. throw new \App\Exception\Authorization\RelationNotValidatedException(
  216. $rolesPermitidos,
  217. 'Su cuenta aún no ha sido activada. Por favor, contacte con el administrador.',
  218. $severityLevel
  219. );
  220. }
  222. if ($redirectOnFailure) {
  223. $this->flashBag->add('warning', 'Su cuenta aún no ha sido activada. Por favor, contacte con el administrador.');
  224. return new RedirectResponse($this->urlGenerator->generate('home'));
  225. }
  227. return false;
  228. }
  230. // Si no se encontró ninguna coincidencia
  231. if (!$coincidenciaEncontrada) {
  232. if ($throwException) {
  233. throw new \App\Exception\Authorization\NoMatchingRolException(
  234. $rolesPermitidos,
  235. 'No tiene permisos para acceder al recurso solicitado.',
  236. $severityLevel
  237. );
  238. }
  240. if ($redirectOnFailure) {
  241. $this->flashBag->add('error', 'No tiene permisos para acceder al recurso solicitado.');
  242. return new RedirectResponse($this->urlGenerator->generate('home'));
  243. }
  245. return false;
  246. }
  248. return true;
  249. }
  251. public function canManageEmployee(UsuarioHermes $usuarioActual, PropietarioContenidoHasUsuarioHermes $relacion, ?int $selectedEntidadId = null)
  252. {
  253. // Verificar si es usuario privilegiado y tiene selectedEntidadId
  254. if ($this->isConsorciPrivilegiado($usuarioActual) && $selectedEntidadId) {
  255. return $this->canManageEmployeeForSelectedEntity($usuarioActual, $relacion, $selectedEntidadId);
  256. }
  258. // Lógica original para usuarios no privilegiados
  259. $typePropietarioContenido = get_class($relacion->getPropietarioContenido());
  261. if ($usuarioActual->getPropietarioContenidos()->filter(fn($pc)=>in_array(get_class($pc), [$typePropietarioContenido, ConsorciPropietarioContenido::class]))){
  262. return true;
  263. }
  265. return false;
  266. }
  268. public function canViewEmployee(UsuarioHermes $usuarioActual, PropietarioContenidoHasUsuarioHermes $relacion, ?int $selectedEntidadId = null)
  269. {
  270. return $this->canManageEmployee($usuarioActual, $relacion, $selectedEntidadId);
  271. }
  273. public function canCreateEmployee(UsuarioHermes $usuarioActual, ?\App\Entity\PropietarioContenido $propietarioContenido = null, ?int $selectedEntidadId = null)
  274. {
  275. // Para usuarios privilegiados, verificar que tengan permisos sobre la entidad seleccionada
  276. if ($this->isConsorciPrivilegiado($usuarioActual) && $selectedEntidadId) {
  277. return $this->canCreateEmployeeForSelectedEntity($usuarioActual, $selectedEntidadId);
  278. }
  280. return true;
  281. }
  283. public function canDeleteEmployee(UsuarioHermes $usuarioActual, PropietarioContenido $propietarioContenido, ?int $selectedEntidadId = null): bool
  284. {
  285. // Para usuarios privilegiados, verificar que el empleado pertenezca a la entidad seleccionada
  286. if ($this->isConsorciPrivilegiado($usuarioActual) && $selectedEntidadId) {
  287. return $this->canDeleteEmployeeForSelectedEntity($usuarioActual, $propietarioContenido, $selectedEntidadId);
  288. }
  290. return true;
  291. }
  293. /**
  294. * Verifica si el usuario autenticado es un "Usuario Consorci Privilegiado".
  295. * Un usuario es privilegiado si tiene asociada al menos una entidad de tipo ConsorciPropietarioContenido.
  296. *
  297. * @param UsuarioHermes|null $usuario Usuario a verificar. Si es null, usa el usuario actual.
  298. * @return bool True si es usuario privilegiado, false en caso contrario
  299. */
  300. public function isConsorciPrivilegiado(?UsuarioHermes $usuario = null): bool
  301. {
  302. if ($usuario === null) {
  303. $token = $this->tokenStorage->getToken();
  304. if (!$token || !($token->getUser() instanceof UsuarioHermes)) {
  305. return false;
  306. }
  307. $usuario = $token->getUser();
  308. }
  310. $propietarioRelaciones = $usuario->getPropietarioContenidoHasUsuarioHermes();
  312. foreach ($propietarioRelaciones as $relacion) {
  313. $propietarioContenido = $relacion->getPropietarioContenido();
  314. if ($propietarioContenido instanceof ConsorciPropietarioContenido) {
  315. return true;
  316. }
  317. }
  319. return false;
  320. }
  322. /**
  323. * Obtiene la entidad Consorci asociada al usuario privilegiado.
  324. *
  325. * @param UsuarioHermes|null $usuario Usuario a verificar. Si es null, usa el usuario actual.
  326. * @return \App\Entity\Consorci|null La entidad Consorci asociada o null si no se encuentra
  327. */
  328. public function getConsorciAssociated(?UsuarioHermes $usuario = null): ?\App\Entity\Consorci
  329. {
  330. if ($usuario === null) {
  331. $token = $this->tokenStorage->getToken();
  332. if (!$token || !($token->getUser() instanceof UsuarioHermes)) {
  333. return null;
  334. }
  335. $usuario = $token->getUser();
  336. }
  338. $propietarioRelaciones = $usuario->getPropietarioContenidoHasUsuarioHermes();
  340. foreach ($propietarioRelaciones as $relacion) {
  341. $propietarioContenido = $relacion->getPropietarioContenido();
  342. if ($propietarioContenido instanceof ConsorciPropietarioContenido) {
  343. return $propietarioContenido->getEntidadAsociada();
  344. }
  345. }
  347. return null;
  348. }
  350. /**
  351. * Verifica si un usuario privilegiado puede gestionar un empleado específico para una entidad seleccionada.
  352. */
  353. private function canManageEmployeeForSelectedEntity(UsuarioHermes $usuarioActual, PropietarioContenidoHasUsuarioHermes $relacion, int $selectedEntidadId): bool
  354. {
  355. $propietarioContenido = $relacion->getPropietarioContenido();
  356. $entidadAsociada = $propietarioContenido->getEntidadAsociada();
  358. return $entidadAsociada && $entidadAsociada->getId() === $selectedEntidadId;
  359. }
  361. /**
  362. * Verifica si un usuario privilegiado puede crear empleados para una entidad seleccionada.
  363. */
  364. private function canCreateEmployeeForSelectedEntity(UsuarioHermes $usuarioActual, int $selectedEntidadId): bool
  365. {
  366. // Los usuarios privilegiados pueden crear empleados para cualquier entidad
  367. // La validación adicional se puede implementar aquí si es necesario
  368. return true;
  369. }
  371. /**
  372. * Verifica si un usuario privilegiado puede eliminar un empleado específico para una entidad seleccionada.
  373. */
  374. private function canDeleteEmployeeForSelectedEntity(UsuarioHermes $usuarioActual, PropietarioContenido $propietarioContenido, int $selectedEntidadId): bool
  375. {
  376. $entidadAsociada = $propietarioContenido->getEntidadAsociada();
  378. return $entidadAsociada && $entidadAsociada->getId() === $selectedEntidadId;
  379. }
  381. public function canEditConvocatoria(?\Symfony\Component\Security\Core\User\UserInterface $user, mixed $convocatoria)
  382. {
  383. return true;
  384. }
  386. /**
  387. * Verifica si el propietario_contenido es organizador del grupo dado.
  388. *
  389. * Trazabilidad:
  390. * - HU-389v2-02 CA-4 (forbidden no-organizador)
  391. * - ADR-003 autorizacion endpoint pending-members
  392. *
  393. * Logica: el propietario es organizador si tiene rol CONSORCI (gestiona todos
  394. * los grupos), ENTIDAD_COLABORATIVA con el grupo en sus expedientes, o FORMADOR
  395. * con el grupo entre los que imparte. La resolucion fina queda como TODO; la
  396. * firma publica + la clase ya permiten que los tests mocken este servicio.
  397. *
  398. * @param int $grupoId
  399. * @param int $propietarioContenidoId
  400. * @return bool
  401. */
  402. public function isOrganizadorDelGrupo(int $grupoId, int $propietarioContenidoId): bool
  403. {
  404. // INC-389v2 demo MVP: CONSORCI siempre es organizador (rol global).
  405. // Resolución vía Security del usuario actual (sin EntityManager directo).
  406. $user = $this->security->getUser();
  407. if (!$user instanceof UsuarioHermes) {
  408. return false;
  409. }
  410. foreach ($user->getPropietarioContenidoHasUsuarioHermes() as $rel) {
  411. $pc = $rel->getPropietarioContenido();
  412. if ($pc instanceof \App\Entity\ConsorciPropietarioContenido) {
  413. return true;
  414. }
  415. }
  416. // TODO HU-389v2-followup: FORMADOR (grupos que imparte), ENTIDAD_COLABORATIVA (grupos que organiza).
  417. return false;
  418. }
  420. /**
  421. * Selecciona automáticamente el primer PropietarioContenido activo del usuario.
  422. * Prioriza los que sean rol PARTICIPANTE si los hay.
  423. *
  424. * @param UsuarioHermes $user Usuario para el cual seleccionar el PropietarioContenido
  425. * @return PropietarioContenido|null El PropietarioContenido seleccionado o null si no se encontró
  426. */
  427. private function seleccionarPropietarioContenidoActivo(UsuarioHermes $user): ?PropietarioContenido
  428. {
  429. $propietarioRelaciones = $user->getPropietarioContenidoHasUsuarioHermes();
  431. if ($propietarioRelaciones->isEmpty()) {
  432. return null;
  433. }
  435. $propietariosActivos = [];
  436. $propietariosParticipante = [];
  438. // Buscar PropietarioContenido activos (validados)
  439. foreach ($propietarioRelaciones as $relacion) {
  440. // Solo considerar relaciones validadas
  441. if ($relacion->getValidatedAt() === null) {
  442. continue;
  443. }
  445. $propietarioContenido = $relacion->getPropietarioContenido();
  446. $rolPropietario = RolEnum::getRolFromClass(get_class($propietarioContenido));
  448. if ($rolPropietario) {
  449. $propietariosActivos[] = $propietarioContenido;
  451. // Separar los de rol PARTICIPANTE para priorizarlos
  452. if ($rolPropietario === RolEnum::PARTICIPANTE) {
  453. $propietariosParticipante[] = $propietarioContenido;
  454. }
  455. }
  456. }
  458. // Si no hay PropietarioContenido activos, no hacer nada
  459. if (empty($propietariosActivos)) {
  460. return null;
  461. }
  463. // Priorizar rol PARTICIPANTE si existe, sino tomar el primero activo
  464. $propietarioSeleccionado = !empty($propietariosParticipante)
  465. ? $propietariosParticipante[0]
  466. : $propietariosActivos[0];
  468. return $propietarioSeleccionado;
  469. }
  470. }