src/CoreBundle/Component/Router/Security/RouteCsrfProtector.php line 54

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. namespace App\CoreBundle\Component\Router\Security;
  7. use App\CoreBundle\Component\Router\Security\Annotation\CsrfProtection;
  8. use Doctrine\Common\Annotations\Reader;
  9. use ReflectionMethod;
  10. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  11. use Symfony\Component\HttpKernel\Event\ControllerEvent;
  12. use Symfony\Component\HttpKernel\KernelEvents;
  13. use Symfony\Component\Security\Csrf\CsrfToken;
  14. use Symfony\Component\Security\Csrf\CsrfTokenManagerInterface;
  16. class RouteCsrfProtector implements EventSubscriberInterface
  17. {
  18.     public const CSRF_TOKEN_REQUEST_PARAMETER 'routeCsrfToken';
  19.     public const CSRF_TOKEN_ID_PREFIX 'route_';
  21.     /**
  22.      * @var \Doctrine\Common\Annotations\Reader
  23.      */
  24.     protected $annotationReader;
  26.     /**
  27.      * @var \Symfony\Component\Security\Csrf\CsrfTokenManagerInterface
  28.      */
  29.     protected $tokenManager;
  31.     /**
  32.      * @param \Doctrine\Common\Annotations\Reader $annotationReader
  33.      * @param \Symfony\Component\Security\Csrf\CsrfTokenManagerInterface $tokenManager
  34.      */
  35.     public function __construct(Reader $annotationReaderCsrfTokenManagerInterface $tokenManager)
  36.     {
  37.         $this->annotationReader $annotationReader;
  38.         $this->tokenManager $tokenManager;
  39.     }
  41.     /**
  42.      * @return string[]
  43.      */
  44.     public static function getSubscribedEvents()
  45.     {
  46.         return [
  47.             KernelEvents::CONTROLLER => 'onKernelController',
  48.         ];
  49.     }
  51.     /**
  52.      * @param \Symfony\Component\HttpKernel\Event\ControllerEvent $event
  53.      */
  54.     public function onKernelController(ControllerEvent $event)
  55.     {
  56.         if ($this->isProtected($event)) {
  57.             $request $event->getRequest();
  58.             $csrfToken $request->get(self::CSRF_TOKEN_REQUEST_PARAMETER);
  59.             $routeName $request->get('_route');
  61.             if ($csrfToken === null || !$this->isCsrfTokenValid($routeName$csrfToken)) {
  62.                 throw new \Symfony\Component\HttpKernel\Exception\BadRequestHttpException('Csrf token is invalid');
  63.             }
  64.         }
  65.     }
  67.     /**
  68.      * @param string $routeName
  69.      * @return string
  70.      */
  71.     public function getCsrfTokenId($routeName)
  72.     {
  73.         return static::CSRF_TOKEN_ID_PREFIX $routeName;
  74.     }
  76.     /**
  77.      * @param string $routeName
  78.      * @return string
  79.      */
  80.     public function getCsrfTokenByRoute($routeName)
  81.     {
  82.         return $this->tokenManager->getToken($this->getCsrfTokenId($routeName))->getValue();
  83.     }
  85.     /**
  86.      * @param string $routeName
  87.      * @param string $csrfToken
  88.      * @return bool
  89.      */
  90.     protected function isCsrfTokenValid($routeName$csrfToken)
  91.     {
  92.         $token = new CsrfToken($this->getCsrfTokenId($routeName), $csrfToken);
  94.         return $this->tokenManager->isTokenValid($token);
  95.     }
  97.     /**
  98.      * @param \Symfony\Component\HttpKernel\Event\ControllerEvent $event
  99.      * @return bool
  100.      */
  101.     protected function isProtected(ControllerEvent $event)
  102.     {
  103.         if (!$event->isMasterRequest()) {
  104.             return false;
  105.         }
  107.         list($controller$action) = $event->getController();
  108.         $method = new ReflectionMethod($controller$action);
  109.         $annotation $this->annotationReader->getMethodAnnotation($methodCsrfProtection::class);
  111.         return $annotation !== null;
  112.     }
  113. }