custom/plugins/UandiEfbDownloadCenter/src/Controller/MediaDownloadController.php line 52

Open in your IDE?
  1. <?php declare(strict_types=1);
  3. namespace Uandi\UandiEfbDownloadCenter\Controller;
  5. use Shopware\Core\Checkout\Customer\CustomerEntity;
  6. use Shopware\Core\Content\Media\MediaEntity;
  7. use Shopware\Core\Content\Media\MediaType\DocumentType;
  8. use Shopware\Core\Content\Media\Pathname\UrlGeneratorInterface;
  9. use Shopware\Core\Framework\DataAbstractionLayer\EntityRepositoryInterface;
  10. use Shopware\Core\Framework\DataAbstractionLayer\Search\Criteria;
  11. use Shopware\Core\System\SalesChannel\SalesChannelContext;
  12. use Shopware\Core\System\SystemConfig\SystemConfigService;
  13. use Shopware\Storefront\Controller\StorefrontController;
  14. use Symfony\Component\HttpFoundation\BinaryFileResponse;
  15. use Symfony\Component\HttpFoundation\ResponseHeaderBag;
  16. use Symfony\Component\HttpKernel\KernelInterface;
  17. use Symfony\Component\Mime\FileinfoMimeTypeGuesser;
  18. use Symfony\Component\Routing\Annotation\Route;
  20. /**
  21.  * @Route(defaults={"_routeScope"={"storefront"}})
  22.  */
  23. class MediaDownloadController extends StorefrontController
  24. {
  25.     private EntityRepositoryInterface $mediaRepository;
  26.     private SystemConfigService $systemConfigService;
  27.     private UrlGeneratorInterface $urlGenerator;
  28.     private KernelInterface $kernel;
  30.     public function __construct(
  31.         EntityRepositoryInterface $mediaRepository,
  32.         SystemConfigService $systemConfigService,
  33.         UrlGeneratorInterface $urlGenerator,
  34.         KernelInterface $kernel
  35.     ) {
  36.         $this->mediaRepository $mediaRepository;
  37.         $this->systemConfigService $systemConfigService;
  38.         $this->urlGenerator $urlGenerator;
  39.         $this->kernel $kernel;
  40.     }
  42.     /**
  43.      * Supply a download for the supplied media file id, if the user is authorized.
  44.      *
  45.      * @Route("/download/media/{mediaId}", name="uandi.downloadcenter.restricted", methods={"GET"})
  46.      *
  47.      * @param string $mediaId
  48.      * @param SalesChannelContext $salesChannelContext
  49.      *
  50.      * @return BinaryFileResponse
  51.      */
  52.     public function downloadProtectedMedia(
  53.         string $mediaId,
  54.         SalesChannelContext $salesChannelContext
  55.     ): BinaryFileResponse {
  56.         $mediaEntity $this->getMediaEntity($salesChannelContext$mediaId);
  58.         if (!$mediaEntity->getMediaType() instanceof DocumentType) {
  59.             return $this->createMediaDownloadResponse($mediaEntity);
  60.         }
  62.         $this->checkFolderAccess($mediaEntity$salesChannelContext->getCustomer());
  64.         return $this->createMediaDownloadResponse($mediaEntity);
  65.     }
  67.     /**
  68.      * Shortcut for reading config fields.
  69.      *
  70.      * @param string $configField
  71.      *
  72.      * @return array|float|bool|int|string|null
  73.      */
  74.     private function getConfig(string $configField): array|float|bool|int|string|null
  75.     {
  76.         return $this->systemConfigService->get('UandiEfbDownloadCenter.config.' $configField);
  77.     }
  79.     /**
  80.      * Load the media file for the supplied id. Not found => 404
  81.      *
  82.      * @param SalesChannelContext $salesChannelContext
  83.      * @param string $mediaId
  84.      *
  85.      * @return MediaEntity|null
  86.      */
  87.     private function getMediaEntity(SalesChannelContext $salesChannelContextstring $mediaId): ?MediaEntity
  88.     {
  89.         $criteria = new Criteria([$mediaId]);
  90.         $criteria->addAssociations(['mediaFolder']);
  91.         $mediaFile $this->mediaRepository->search($criteria$salesChannelContext->getContext())->first();
  93.         if ($mediaFile === null) {
  94.             throw $this->createNotFoundException();
  95.         }
  97.         return $mediaFile;
  98.     }
  100.     /**
  101.      * Return pdf stream as a file download response.
  102.      *
  103.      * @param MediaEntity $pdfEntity
  104.      *
  105.      * @return BinaryFileResponse
  106.      */
  107.     private function createMediaDownloadResponse(MediaEntity $pdfEntity): BinaryFileResponse
  108.     {
  109.         $filePath $this->kernel->getProjectDir() . '/public/' $this->urlGenerator->getRelativeMediaUrl($pdfEntity);
  110.         $response = new BinaryFileResponse($filePath);
  111.         $mimeTypeGuesser = new FileinfoMimeTypeGuesser();
  112.         $response->headers->set('Content-Type'$mimeTypeGuesser->guessMimeType($filePath));
  113.         $response->setContentDisposition(ResponseHeaderBag::DISPOSITION_ATTACHMENT);
  114.         return $response;
  115.     }
  117.     /**
  118.      * Access check, throws access denied exception when file is inside the protected folder structure but the user is
  119.      * not permitted.
  120.      *
  121.      * @param MediaEntity|null $mediaEntity
  122.      * @param CustomerEntity|null $customer
  123.      * @return void
  124.      */
  125.     private function checkFolderAccess(?MediaEntity $mediaEntity, ?CustomerEntity $customer): void
  126.     {
  127.         $mediaFolder $mediaEntity->getMediaFolder();
  128.         $parentFolderId $mediaFolder->getParentId();
  130.         // Has no parent folder? Allow access
  131.         if ($parentFolderId == null) {
  132.             return;
  133.         }
  135.         // Parent folder is none of the configured roots? Allow access
  136.         $priceListRoot $this->getConfig('rootFolderPriceLists');
  137.         $eCatalogRoot $this->getConfig('rootFolderECatalogs');
  139.         if ($parentFolderId !== $priceListRoot && $parentFolderId !== $eCatalogRoot) {
  140.             return;
  141.         }
  143.         // Must be logged in to process further
  144.         if ($customer == null) {
  145.             throw $this->createAccessDeniedException();
  146.         }
  148.         // You've come this far and the folder is named after the customer number? Good enough
  149.         if ($customer->getCustomerNumber() == $mediaFolder->getName()) {
  150.             return;
  151.         }
  153.         // Still here? Guess we need to check if the folder name is on the customer's permission list for this root
  154.         $customFields $customer->getCustomFields();
  155.         $priceListPermissions = [];
  156.         $eCatalogPermissions = [];
  158.         if (is_array($customFields) && array_key_exists('folderPermissions'$customFields)) {
  159.             $permissions json_decode($customFields['folderPermissions'], true);
  161.             if (array_key_exists('priceLists'$permissions)) {
  162.                 $priceListPermissions $permissions['priceLists'];
  163.             }
  165.             if (array_key_exists('eCatalogs'$permissions)) {
  166.                 $eCatalogPermissions $permissions['eCatalogs'];
  167.             }
  168.         }
  170.         if ($parentFolderId == $priceListRoot) {
  171.             foreach ($priceListPermissions as $priceListPermission) {
  172.                 if ($priceListPermission == $mediaFolder->getName()) {
  173.                     return;
  174.                 }
  175.             }
  176.         } else {
  177.             foreach ($eCatalogPermissions as $eCatalogPermission) {
  178.                 if ($eCatalogPermission == $mediaFolder->getName()) {
  179.                     return;
  180.                 }
  181.             }
  182.         }
  184.         // Nope, obviously not
  185.         throw $this->createAccessDeniedException();
  186.     }
  187. }