src/EventSubscriber/InstallAccessSubscriber.php line 43

Open in your IDE?
  1. <?php
  3. namespace App\EventSubscriber;
  5. use App\Entity\User;
  6. use Psr\Log\LoggerInterface;
  7. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  8. use Symfony\Component\HttpKernel\Event\RequestEvent;
  9. use Symfony\Component\HttpKernel\KernelEvents;
  10. use Symfony\Component\Security\Http\Authenticator\Token\PostAuthenticationToken;
  12. /**
  13.  * Steuert den Zugang zu /install/action/{tgaHash}:
  14.  *
  15.  * - Jeder neue tgaHash (neuer QR-Code) löscht die bestehende qrcode-Session,
  16.  *   damit alte Sitzungen nicht wiederverwendet werden können.
  17.  * - Dashboard-Benutzer (onlyQrCodeUser = false) werden automatisch in die
  18.  *   qrcode-Firewall eingeloggt, ohne AppCode eingeben zu müssen.
  19.  * - onlyQrCodeUser muss sich immer mit dem AppCode am QR-Login anmelden.
  20.  */
  21. class InstallAccessSubscriber implements EventSubscriberInterface
  22. {
  23.     private const SESSION_KEY_QRCODE '_security_qrcode';
  24.     private const SESSION_KEY_DEFAULT '_security_default';
  25.     private const SESSION_KEY_INSTALL_HASH '_install_tgaHash';
  26.     private const INSTALL_ENTRY_ROUTE 'install_chose_action';
  28.     private LoggerInterface $logger;
  30.     public function __construct(LoggerInterface $logger)
  31.     {
  32.         $this->logger $logger;
  33.     }
  35.     public static function getSubscribedEvents(): array
  36.     {
  37.         // Nach RouterListener (32) aber vor Security-Firewall (8)
  38.         return [
  39.             KernelEvents::REQUEST => ['onKernelRequest'9],
  40.         ];
  41.     }
  43.     public function onKernelRequest(RequestEvent $event): void
  44.     {
  45.         if (!$event->isMainRequest()) {
  46.             return;
  47.         }
  49.         $request $event->getRequest();
  51.         if ($request->attributes->get('_route') !== self::INSTALL_ENTRY_ROUTE) {
  52.             return;
  53.         }
  55.         if (!$request->hasSession()) {
  56.             return;
  57.         }
  59.         $tgaHash = (string) $request->attributes->get('tgaHash''');
  60.         $session $request->getSession();
  62.         $hasQrcodeSession = (bool) $session->get(self::SESSION_KEY_QRCODE);
  63.         $storedHash = (string) $session->get(self::SESSION_KEY_INSTALL_HASH'');
  65.         // Gleicher tgaHash und gültige qrcode-Session → einfach durchlassen
  66.         // (auch wenn tgaHash leer ist, z.B. nach Logout ohne Hash-Kontext)
  67.         if ($hasQrcodeSession && $storedHash === $tgaHash) {
  68.             $this->logger->debug('InstallAccessSubscriber: same tgaHash, passing through.');
  69.             return;
  70.         }
  72.         // Neuer tgaHash oder abgelaufene Session → alles löschen
  73.         $session->remove(self::SESSION_KEY_QRCODE);
  74.         $session->remove(self::SESSION_KEY_INSTALL_HASH);
  76.         // Prüfen ob Dashboard-Session vorhanden
  77.         $defaultTokenSerialized $session->get(self::SESSION_KEY_DEFAULT);
  78.         if (!$defaultTokenSerialized) {
  79.             $this->logger->debug('InstallAccessSubscriber: no default session, redirecting to QR login.');
  80.             return;
  81.         }
  83.         try {
  84.             $defaultToken unserialize($defaultTokenSerialized);
  85.             if (!is_object($defaultToken) || !method_exists($defaultToken'getUser')) {
  86.                 return;
  87.             }
  89.             $user $defaultToken->getUser();
  90.             if (!$user instanceof User) {
  91.                 return;
  92.             }
  94.             if ($user->getOnlyQrCodeUser()) {
  95.                 $this->logger->debug('InstallAccessSubscriber: onlyQrCodeUser, must use QR login.');
  96.                 return;
  97.             }
  99.             // Dashboard-Benutzer automatisch in qrcode-Firewall einloggen
  100.             $qrcodeToken = new PostAuthenticationToken($user'qrcode'$user->getRoles());
  101.             $session->set(self::SESSION_KEY_QRCODEserialize($qrcodeToken));
  102.             $session->set(self::SESSION_KEY_INSTALL_HASH$tgaHash);
  104.             $this->logger->debug(sprintf(
  105.                 'InstallAccessSubscriber: auto-login user %d (%s) into qrcode firewall for tgaHash=%s',
  106.                 $user->getId(),
  107.                 $user->getEmail(),
  108.                 $tgaHash
  109.             ));
  110.         } catch (\Throwable $e) {
  111.             $this->logger->warning('InstallAccessSubscriber: failed to process token: '.$e->getMessage());
  112.         }
  113.     }
  114. }