BookStack Code Mirror - bookstack/blob - app/Permissions/PermissionsRepo.php

   1 <?php
   2
   3 namespace BookStack\Permissions;
   4
   5 use BookStack\Activity\ActivityType;
   6 use BookStack\Exceptions\PermissionsException;
   7 use BookStack\Facades\Activity;
   8 use BookStack\Permissions\Models\RolePermission;
   9 use BookStack\Users\Models\Role;
  10 use Exception;
  11 use Illuminate\Database\Eloquent\Collection;
  12
  13 class PermissionsRepo
  14 {
  15     protected JointPermissionBuilder $permissionBuilder;
  16     protected array $systemRoles = ['admin', 'public'];
  17
  18     public function __construct(JointPermissionBuilder $permissionBuilder)
  19     {
  20         $this->permissionBuilder = $permissionBuilder;
  21     }
  22
  23     /**
  24      * Get all the user roles from the system.
  25      */
  26     public function getAllRoles(): Collection
  27     {
  28         return Role::query()->get();
  29     }
  30
  31     /**
  32      * Get all the roles except for the provided one.
  33      */
  34     public function getAllRolesExcept(Role $role): Collection
  35     {
  36         return Role::query()->where('id', '!=', $role->id)->get();
  37     }
  38
  39     /**
  40      * Get a role via its ID.
  41      */
  42     public function getRoleById(int $id): Role
  43     {
  44         return Role::query()->findOrFail($id);
  45     }
  46
  47     /**
  48      * Save a new role into the system.
  49      */
  50     public function saveNewRole(array $roleData): Role
  51     {
  52         $role = new Role($roleData);
  53         $role->mfa_enforced = boolval($roleData['mfa_enforced'] ?? false);
  54         $role->save();
  55
  56         $permissions = $roleData['permissions'] ?? [];
  57         $this->assignRolePermissions($role, $permissions);
  58         $this->permissionBuilder->rebuildForRole($role);
  59
  60         Activity::add(ActivityType::ROLE_CREATE, $role);
  61
  62         return $role;
  63     }
  64
  65     /**
  66      * Updates an existing role.
  67      * Ensures Admin system role always have core permissions.
  68      */
  69     public function updateRole($roleId, array $roleData): Role
  70     {
  71         $role = $this->getRoleById($roleId);
  72
  73         if (isset($roleData['permissions'])) {
  74             $this->assignRolePermissions($role, $roleData['permissions']);
  75         }
  76
  77         $role->fill($roleData);
  78         $role->save();
  79         $this->permissionBuilder->rebuildForRole($role);
  80
  81         Activity::add(ActivityType::ROLE_UPDATE, $role);
  82
  83         return $role;
  84     }
  85
  86     /**
  87      * Assign a list of permission names to the given role.
  88      */
  89     protected function assignRolePermissions(Role $role, array $permissionNameArray = []): void
  90     {
  91         $permissions = [];
  92         $permissionNameArray = array_values($permissionNameArray);
  93
  94         // Ensure the admin system role retains vital system permissions
  95         if ($role->system_name === 'admin') {
  96             $permissionNameArray = array_unique(array_merge($permissionNameArray, [
  97                 'users-manage',
  98                 'user-roles-manage',
  99                 'restrictions-manage-all',
 100                 'restrictions-manage-own',
 101                 'settings-manage',
 102             ]));
 103         }
 104
 105         if (!empty($permissionNameArray)) {
 106             $permissions = RolePermission::query()
 107                 ->whereIn('name', $permissionNameArray)
 108                 ->pluck('id')
 109                 ->toArray();
 110         }
 111
 112         $role->permissions()->sync($permissions);
 113     }
 114
 115     /**
 116      * Delete a role from the system.
 117      * Check it's not an admin role or set as default before deleting.
 118      * If a migration Role ID is specified the users assign to the current role
 119      * will be added to the role of the specified id.
 120      *
 121      * @throws PermissionsException
 122      * @throws Exception
 123      */
 124     public function deleteRole(int $roleId, int $migrateRoleId = 0): void
 125     {
 126         $role = $this->getRoleById($roleId);
 127
 128         // Prevent deleting admin role or default registration role.
 129         if ($role->system_name && in_array($role->system_name, $this->systemRoles)) {
 130             throw new PermissionsException(trans('errors.role_system_cannot_be_deleted'));
 131         } elseif ($role->id === intval(setting('registration-role'))) {
 132             throw new PermissionsException(trans('errors.role_registration_default_cannot_delete'));
 133         }
 134
 135         if ($migrateRoleId !== 0) {
 136             $newRole = Role::query()->find($migrateRoleId);
 137             if ($newRole) {
 138                 $users = $role->users()->pluck('id')->toArray();
 139                 $newRole->users()->sync($users);
 140             }
 141         }
 142
 143         $role->entityPermissions()->delete();
 144         $role->jointPermissions()->delete();
 145         Activity::add(ActivityType::ROLE_DELETE, $role);
 146         $role->delete();
 147     }
 148 }