src/Security/UserLoader.php line 24

Open in your IDE?
  1. <?php
  2. // src/Security/UserLoader.php
  3. namespace App\Security;
  5. use Symfony\Component\Security\Core\Exception\UnsupportedUserException;
  6. use Symfony\Component\Security\Core\Exception\UserNotFoundException;
  7. use Symfony\Component\Security\Core\User\PasswordUpgraderInterface;
  8. use Symfony\Component\Security\Core\User\UserInterface;
  9. use Symfony\Component\Security\Core\User\UserProviderInterface;
  10. use Doctrine\ORM\EntityManagerInterface;
  11. use App\AppUtils\AppGoogleClient;
  12. use Symfony\Component\HttpFoundation\RequestStack;
  13. use App\Entity\Customer;
  14. use App\Entity\CustomerOtherDomain//domini alias o sottodomini google Workspace
  16. class UserLoader implements UserProviderInterfacePasswordUpgraderInterface
  17. {
  18.     // proprietà aggiuntive
  19.     private $customerID="";
  20.     private $em;
  21.     private $session;
  23.     //costruttore per iniettare strumenti utili negli altri metodi
  24.     public function __construct(EntityManagerInterface $emRequestStack $requestStack){
  25.         $this->session $requestStack->getSession(); //recupera la sessione e ne salva il riferimento nell'autenticatore
  26.         $this->em $em//recupera l'entity manager doctrine
  27.     }
  29.         /**
  30.      * The loadUserByIdentifier() method was introduced in Symfony 5.3.
  31.      * In previous versions it was called loadUserByUsername()
  32.      *
  33.      * Symfony calls this method if you use features like switch_user
  34.      * or remember_me. If you're not using these features, you do not
  35.      * need to implement this method.
  36.      *
  37.      * @throws UserNotFoundException if the user is not found
  38.      */
  39.     public function loadUserByIdentifier(string $identifier): UserInterface
  40.     {
  41.         //recupera la sessione per poter salvare i dati utili
  42.         if (filter_var($identifierFILTER_VALIDATE_EMAIL)) {
  43.             $email $identifier;
  44.             $emailesplosa=explode('@',$email); // esplode l'indirizzo mail in due stringhe prima e dopo la chiocciola @
  45.             $username=$emailesplosa[0]; //estrae lo username dalla mail
  46.             $dominio $emailesplosa[1]; //estrae il dominio dalla mail
  47.         } else {
  48.             throw new \Exception("Identitificativo {$identifier} non riconosciuto come email valida");
  49.         }
  50.         //### PORZIONE PER SUPERADMIN SCAN2GO, azionata soltanto se in sessione c'è l'apposito trigger
  51.         if ( isset($_ENV['SUPERADMINS']) && is_string($_ENV['SUPERADMINS']) && $_ENV['SUPERADMINS'] != "" && $this->session->get('SuperAdminAuth') ){
  52.             $superadminsArray json_decode($_ENV['SUPERADMINS']); //dopo aver controllato che esista, prelevo l'array dei superadmin dall'environment
  53.             if ($superadminsArray != false && is_array($superadminsArray)){
  54.                 //in questo caso debbo verificare che l'utente sia superadmin
  55.                 if ( in_array($email,$superadminsArray) ){
  56.                     //in questo caso ho verificato che è un superadmin, quindi creo e restituisco l'oggetto utente
  57.                     //creo l'utente
  58.                     $utente = new User;
  59.                     $utente->setEmail($email);
  60.                     $ruoliSA=['ROLE_SUPERADMIN'];
  61.                     $utente->setRoles($ruoliSA);
  62.                     //lo salvo in sessione e poi lo ritorno
  63.                     $this->session->set('email',$email);
  64.                     $this->session->set('roles',$ruoliSA);
  65.                     //salvo altri dati utili in sessione
  66.                     //nome utente (troncato a 30 caratteri) e nome utente completo
  67.                     $un explode('@'$email)[0]; //separo il nome utente dall'indirizzo email
  68.                     if(strlen($un)>30){ //nel caso in cui l'utente sia più lungo di 30 caratteri, taglio in modo da non infastidire il layout interfaccia
  69.                         $unc $un;
  70.                         $un substr($un,0,30).'...'//sovrascrivo il nomeutente con i primi 30 caratteri dell'originale e aggiungo tre puntini di sospensione
  71.                     }
  72.                     else {$unc null;}
  73.                     $this->session->set('nomeutente',$un); //salvo in sessione il nomeutente
  74.                     $this->session->set('nomeutentecompleto',$unc); //salvo in sessione il nomeutentecompleto
  75.                     //Chiudo il service e l'AGC inutile in linea di massima, tanto per precauzione
  76.                     $service null;
  77.                     $AGC null;
  78.                     return $utente;
  79.                 } else {} //prosegue i controlli normalmente
  80.             } else {} //prosegue i controlli normalmente
  81.         } else {
  82.             $this->session->remove('SuperAdminAuth'); //per sicurezza rimuovo dalla sessione il valore trigger
  83.         //prosegue i controlli normalmente
  84.         //### FINE PORZIONE PER SUPERADMIN SCAN2GO
  85.         //PORZIONE DI CODICE PER DOMINI ALIAS / SOTTODOMINI ETC.
  86.         $customerOtherDomain $this->session->get('customerOtherDomain'); //leggo dalla sessione l'eventuale presenza del parametro che segnala il fatto che l'utente usa un dominio alternativo
  87.         $customerOtherDomain = (int) $customerOtherDomain//converto in intero
  88.         if ( $customerOtherDomain != null && $customerOtherDomain ){
  89.             $tempRecord=$this->em->getRepository(Customer::class)->find($customerOtherDomain);
  90.             if ($tempRecord != null){
  91.                 //tutto ok, sovrascrivo $dominio con il gDomain corrispondente al tempRecord, di modo da evitare problemi
  92.                 $dominio $tempRecord->getGDomain();
  93.             }
  94.             else { //in teoria non ci troviamo MAI in questa situazione, dato che questi controlli sono già stati passati al passaggio precedente in PfSenseTokenAuthenticator
  95.                 throw new UserNotFoundException("Customer Other Domain: {$dominio} non riconosciuto! Cid:{$customerOtherDomain}");
  96.             }
  97.         } else { //nel caso in cui non ci troviamo in corrispondenza di alias / sottodomini alternativi etc. eseguo il codice normale
  98.             //dentro questo else c'era la porzione di codice eseguita in precedenza
  99.             $tempRecord=$this->em->getRepository(Customer::class)->findOneBy([ //ricerca il record customer corrispondente al dominio passato
  100.                 'gDomain' => $dominio
  101.             ]);
  102.         }
  103.         //FINE PORZIONE DI CODICE PER DOMINI ALIAS / SOTTODOMINI ETC.
  104.         $codMec $tempRecord->getCodMec();
  105.         $customerID $tempRecord->getGCustomerId();
  106.         //Non occorre che faccia check particolari, in quanto l'app authenticator dello step precedente li ha già fatti
  107.         try {
  108.             $scopesArray=json_decode($_ENV['GAPI_SCOPES'],true); //permessi da richiedere sulle GAPI
  109.             $AGC = new AppGoogleClient($this->em,$codMec,$customerID,false,$scopesArray); // istanzia il client em doctrine, meccanografico,google customer id, batch mode, array di scopes gapi
  110.         } catch (\Exception $e){
  111.             $errore $e->getMessage();
  112.             $this->session->set('googleAuthUrl',$errore);
  113.             $this->session->set('customer',$tempRecord);
  114.             throw new UserNotFoundException($errore);
  115.         }
  116.         try {
  117.             $service = new \Google_Service_Directory($AGC->getClient()); // recupera il service della Directory
  118.             //$this->session->set('scopesDebug',$_ENV['GAPI_SCOPES']);
  119.         } catch (\Exception $e){
  120.             $errore $e->getMessage();
  121.             //$this->session->set('scopesDebug',$_ENV['GAPI_SCOPES']);
  122.             throw new UserNotFoundException($errore);
  123.         }
  124.         $utenti $service->users//recupera l'oggetto che lavora sugli utenti della directory
  125.         $membri $service->members//recupera l'oggetto che lavora sulle memberships a qualsiasi gruppo della gSuite in questione
  126.         $ruoliutente=array(); //array vuoto in cui fare il push dei ruoli
  127.         $contatoreOccorrenze=0;
  128.         //### Prelevo i gruppi gSuite sui quali fare le assegnazioni dei ruoli, direttamente dal database
  129.         $gruppoGsuiteOperatori=$tempRecord->getGruppoGsuiteOperatori();
  130.         $gruppoGsuiteAmministratori=$tempRecord->getGruppoGsuiteAmministratori();
  131.         $gruppoGsuiteIncaricati=$tempRecord->getGruppoGsuiteIncaricati();
  132.         $mappaturaGSuiteApp=array(
  133.             $gruppoGsuiteAmministratori => 'ROLE_ADMIN',
  134.             $gruppoGsuiteOperatori => 'ROLE_OPERATORE',
  135.         );
  136.         //### Per retrocompatibilità, procedo all'inserimento del controllo del ruolo incaricato, solamente quando esiste nei gruppi definiti all'interno del customer
  137.         if ($gruppoGsuiteIncaricati != null){
  138.             $mappaturaGSuiteApp[$gruppoGsuiteIncaricati] = 'ROLE_INCARICATO';
  139.         } else {
  140.             //### Implementazione gruppi di incaricati multipli (abbinamento per plesso)
  141.             //prelevo la configurazione extra del customer
  142.             $configCustomer $tempRecord->getConfig();
  143.             if ($configCustomer != null && isset($configCustomer['gruppiIncaricatiEPlessi']) && $configCustomer['gruppiIncaricatiEPlessi'] != null && is_array($configCustomer['gruppiIncaricatiEPlessi'])){
  144.                 //$configCustomer['gruppiIncaricatiEPlessi'] è un array in cui ciascun elemento è un abbinamento plesso -> gruppoIncaricati
  145.                 $abbinamentiPlessoIncaricati $configCustomer['gruppiIncaricatiEPlessi'];
  146.                 //ciclo gli abbinamenti
  147.                 $gruppiAbbinatiPrecedenti = [];
  148.                 $plessiAbbinati = [];
  149.                 foreach ($abbinamentiPlessoIncaricati as $plesso=>$gruppoInc){
  150.                     //caso in cui lo stesso gruppo è abbinato a più plessi, risparmio una chiamata api e procedo già ad aggiungere il plesso tra quelli abbinati al delegato corrente
  151.                     if ( in_array($gruppoInc,$gruppiAbbinatiPrecedenti) ){
  152.                         array_push($plessiAbbinati,$plesso); //inserisco nei plessi abbinati quello iterato
  153.                         $effettuaApiCall false//disabilito l'if successivo
  154.                     } else {
  155.                         $effettuaApiCall true//abilito l'if successivo
  156.                     }
  157.                     //nel caso in cui sia effettivamente membro del gruppo
  158.                     if ($effettuaApiCall && $membri->hasMember($gruppoInc.'@'.$dominio,$email)->getIsMember()){
  159.                         array_push($plessiAbbinati,$plesso); //inserisco nei plessi abbinati quello iterato
  160.                         array_push($gruppiAbbinatiPrecedenti,$gruppoInc); //inserisco il gruppo corrente in quelli già abbinati al delegato corrente
  161.                     } else {}
  162.                 }
  163.                 if (count($gruppiAbbinatiPrecedenti)>0){
  164.                     //se ho effettuato almeno un abbinamento attribuisco il ruolo di incaricato
  165.                     array_push($ruoliutente,'ROLE_INCARICATO');
  166.                     $this->session->set('plessiAbbinati',$plessiAbbinati); //salvo in sessione l'abbinamento plesso
  167.                 } else {}
  168.             } else {} //nel caso in cui non sia implementata nel customer, non faccio più niente
  169.         }
  170.         //Check esistenza in GSuite , verifica prima se l'utente è un admin di gsuite nel caso gli da ROLE_ADMIN
  171.         $utente=$utenti->get($email);
  172.         if( $utente!=null ){
  173.             //PORZIONE COMMENTATA e sostituita di riga sottostante PER EVITARE CHE IL GSADMIN RICEVA RUOLO ADMIN
  174.             /*if($utente->getIsAdmin()){ //nel caso in cui l'utente selezionato sia admin gsuite
  175.                 array_push($ruoliutente,'ROLE_ADMIN'); //gli do il ruolo di admin gsuite
  176.             }
  177.             else { 
  178.                 array_push($ruoliutente,'ROLE_USER'); //ruolo utente viene attribuito a tutti
  179.             }*/
  180.             array_push($ruoliutente,'ROLE_USER'); //ruolo utente viene attribuito a tutti
  181.         }
  182.         else {
  183.             //Se l'utente è null
  184.             throw new \Exception("Nessun Utente Rintracciato con email = {$identifier}");
  185.         }
  186.         $primoCheck=true//il flag del primo check mi serve per bypassare gli altri check nel caso in cui l'utente venga riconosciuto come amministratore (eredita automaticamente tutti i ruoli inferiori nella gerarchia)
  187.         foreach($mappaturaGSuiteApp as $gruppo_gsuite=>$ruolo_attribuito){
  188.             if ($membri->hasMember($gruppo_gsuite.'@'.$dominio,$email)->getIsMember()){
  189.                 array_push($ruoliutente,$ruolo_attribuito);
  190.                 $contatoreOccorrenze++;
  191.             }
  192.             if(($contatoreOccorrenze>0) && $primoCheck){ //qualora l'utente sia stato riconosciuto come app_admin, interrompo perché eredita già il ruolo app_docente in automatico, per via della gerarchia
  193.                 break;
  194.             }
  195.             $primoCheck=false//impone a false il valore del primocheck, in vista dei prossimi giri di controllo
  196.         }
  197.         //se c'è stata almeno un'occorrenza nell'appartenenza ai gruppi, procedo alla creazione dell'utente
  198.         //if($contatoreOccorrenze>0){
  199.         //creo l'utente
  200.         $utente = new User;
  201.         $utente->setEmail($email);
  202.         $utente->setRoles($ruoliutente);
  203.         //lo salvo in sessione e poi lo ritorno
  204.         $this->session->set('email',$email);
  205.         $this->session->set('roles',$ruoliutente);
  206.         $this->session->set('dominio',$dominio);
  207.         $codMec=$tempRecord->getCodMec();
  208.         $this->session->set('codMec',$codMec);
  209.         $sqlIDC=$tempRecord->getId();
  210.         $this->session->set('sqlIDC',$sqlIDC);
  211.         $customerID=$tempRecord->getGCustomerId();
  212.         $this->session->set('gCID',$customerID);
  213.         //salvo altri dati utili in sessione
  214.         //nome utente (troncato a 30 caratteri) e nome utente completo
  215.         $un explode('@'$email)[0]; //separo il nome utente dall'indirizzo email
  216.         if(strlen($un)>30){ //nel caso in cui l'utente sia più lungo di 30 caratteri, taglio in modo da non infastidire il layout interfaccia
  217.             $unc $un;
  218.             $un substr($un,0,30).'...'//sovrascrivo il nomeutente con i primi 30 caratteri dell'originale e aggiungo tre puntini di sospensione
  219.         }
  220.         else {$unc null;}
  221.         $this->session->set('nomeutente',$un); //salvo in sessione il nomeutente
  222.         $this->session->set('nomeutentecompleto',$unc); //salvo in sessione il nomeutentecompleto
  223.         //Chiudo il service e l'AGC inutile in linea di massima, tanto per precauzione
  224.         $service null;
  225.         $AGC null;
  226.         return $utente;
  227.     }
  229.     public function loadUserByUsername($username): UserInterface
  230.     {
  231.         throw new \Exception('TODO: fill in loadUserByUsername() inside '.__FILE__);
  232.     }
  234.     /**
  235.      * Refreshes the user after being reloaded from the session.
  236.      *
  237.      * When a user is logged in, at the beginning of each request, the
  238.      * User object is loaded from the session and then this method is
  239.      * called. Your job is to make sure the user's data is still fresh by,
  240.      * for example, re-querying for fresh User data.
  241.      *
  242.      * If your firewall is "stateless: true" (for a pure API), this
  243.      * method is not called.
  244.      *
  245.      * @return UserInterface
  246.      */
  247.     public function refreshUser(UserInterface $user)
  248.     {
  249.         if (!$user instanceof User) {
  250.             throw new UnsupportedUserException(sprintf('Invalid user class "%s".'get_class($user)));
  251.         }
  252.         if( ($this->session->get('userRefresh') !== null) && ($this->session->get('userRefresh') == true) ){
  253.             //INSERIRE IL REFRESH DELL'UTENTE, idealmente un richiamo al loadUserByIdentifier
  254.         }
  255.         else {
  256.             return $user;
  257.         }
  259.         // Return a User object after making sure its data is "fresh".
  260.         // Or throw a UserNotFoundException if the user no longer exists.
  261.         throw new \Exception('TODO: fill in refreshUser() inside '.__FILE__);
  262.     }
  264.     /**
  265.      * Tells Symfony to use this provider for this User class.
  266.      */
  267.     public function supportsClass(string $class): bool
  268.     {
  269.         return User::class === $class || is_subclass_of($classUser::class);
  270.     }
  272.     /**
  273.      * Upgrades the hashed password of a user, typically for using a better hash algorithm.
  274.      */
  275.     public function upgradePassword(UserInterface $userstring $newHashedPassword): void
  276.     {
  277.         // TODO: when hashed passwords are in use, this method should:
  278.         // 1. persist the new password in the user storage
  279.         // 2. update the $user object with $user->setPassword($newHashedPassword);
  280.     }
  281. }