BookStack Code Mirror - bookstack/blob - app/Permissions/PermissionsRepo.php

   1 <?php
   2
   3 namespace BookStack\Permissions;
   4
   5 use BookStack\Activity\ActivityType;
   6 use BookStack\Exceptions\PermissionsException;
   7 use BookStack\Facades\Activity;
   8 use BookStack\Permissions\Models\RolePermission;
   9 use BookStack\Users\Models\Role;
  10 use Exception;
  11 use Illuminate\Database\Eloquent\Collection;
  12
  13 class PermissionsRepo
  14 {
  15     protected array $systemRoles = ['admin', 'public'];
  16
  17     public function __construct(
  18         protected JointPermissionBuilder $permissionBuilder
  19     ) {
  20     }
  21
  22     /**
  23      * Get all the user roles from the system.
  24      */
  25     public function getAllRoles(): Collection
  26     {
  27         return Role::query()->get();
  28     }
  29
  30     /**
  31      * Get all the roles except for the provided one.
  32      */
  33     public function getAllRolesExcept(Role $role): Collection
  34     {
  35         return Role::query()->where('id', '!=', $role->id)->get();
  36     }
  37
  38     /**
  39      * Get a role via its ID.
  40      */
  41     public function getRoleById(int $id): Role
  42     {
  43         return Role::query()->findOrFail($id);
  44     }
  45
  46     /**
  47      * Save a new role into the system.
  48      */
  49     public function saveNewRole(array $roleData): Role
  50     {
  51         $role = new Role($roleData);
  52         $role->mfa_enforced = boolval($roleData['mfa_enforced'] ?? false);
  53         $role->save();
  54
  55         $permissions = $roleData['permissions'] ?? [];
  56         $this->assignRolePermissions($role, $permissions);
  57         $this->permissionBuilder->rebuildForRole($role);
  58
  59         Activity::add(ActivityType::ROLE_CREATE, $role);
  60
  61         return $role;
  62     }
  63
  64     /**
  65      * Updates an existing role.
  66      * Ensures Admin system role always have core permissions.
  67      */
  68     public function updateRole($roleId, array $roleData): Role
  69     {
  70         $role = $this->getRoleById($roleId);
  71
  72         if (isset($roleData['permissions'])) {
  73             $this->assignRolePermissions($role, $roleData['permissions']);
  74         }
  75
  76         $role->fill($roleData);
  77         $role->save();
  78         $this->permissionBuilder->rebuildForRole($role);
  79
  80         Activity::add(ActivityType::ROLE_UPDATE, $role);
  81
  82         return $role;
  83     }
  84
  85     /**
  86      * Assign a list of permission names to the given role.
  87      */
  88     protected function assignRolePermissions(Role $role, array $permissionNameArray = []): void
  89     {
  90         $permissions = [];
  91         $permissionNameArray = array_values($permissionNameArray);
  92
  93         // Ensure the admin system role retains vital system permissions
  94         if ($role->system_name === 'admin') {
  95             $permissionNameArray = array_unique(array_merge($permissionNameArray, [
  96                 'users-manage',
  97                 'user-roles-manage',
  98                 'restrictions-manage-all',
  99                 'restrictions-manage-own',
 100                 'settings-manage',
 101             ]));
 102         }
 103
 104         if (!empty($permissionNameArray)) {
 105             $permissions = RolePermission::query()
 106                 ->whereIn('name', $permissionNameArray)
 107                 ->pluck('id')
 108                 ->toArray();
 109         }
 110
 111         $role->permissions()->sync($permissions);
 112     }
 113
 114     /**
 115      * Delete a role from the system.
 116      * Check it's not an admin role or set as default before deleting.
 117      * If a migration Role ID is specified the users assign to the current role
 118      * will be added to the role of the specified id.
 119      *
 120      * @throws PermissionsException
 121      * @throws Exception
 122      */
 123     public function deleteRole(int $roleId, int $migrateRoleId = 0): void
 124     {
 125         $role = $this->getRoleById($roleId);
 126
 127         // Prevent deleting admin role or default registration role.
 128         if ($role->system_name && in_array($role->system_name, $this->systemRoles)) {
 129             throw new PermissionsException(trans('errors.role_system_cannot_be_deleted'));
 130         } elseif ($role->id === intval(setting('registration-role'))) {
 131             throw new PermissionsException(trans('errors.role_registration_default_cannot_delete'));
 132         }
 133
 134         if ($migrateRoleId !== 0) {
 135             $newRole = Role::query()->find($migrateRoleId);
 136             if ($newRole) {
 137                 $users = $role->users()->pluck('id')->toArray();
 138                 $newRole->users()->sync($users);
 139             }
 140         }
 141
 142         $role->entityPermissions()->delete();
 143         $role->jointPermissions()->delete();
 144         Activity::add(ActivityType::ROLE_DELETE, $role);
 145         $role->delete();
 146     }
 147 }