vendor/scheb/2fa-bundle/Security/Http/Firewall/TwoFactorAccessListener.php line 22

  1. <?php
  3. declare(strict_types=1);
  5. namespace Scheb\TwoFactorBundle\Security\Http\Firewall;
  7. use Scheb\TwoFactorBundle\Security\Authentication\Token\TwoFactorTokenInterface;
  8. use Scheb\TwoFactorBundle\Security\Authorization\TwoFactorAccessDecider;
  9. use Scheb\TwoFactorBundle\Security\TwoFactor\TwoFactorFirewallConfig;
  10. use Symfony\Component\HttpFoundation\Request;
  11. use Symfony\Component\HttpKernel\Event\RequestEvent;
  12. use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorageInterface;
  13. use Symfony\Component\Security\Core\Exception\AccessDeniedException;
  14. use Symfony\Component\Security\Http\Firewall\AbstractListener;
  15. use Symfony\Component\Security\Http\Firewall\FirewallListenerInterface;
  17. /**
  18.  * Handles access control in the "2fa in progress" phase.
  19.  *
  20.  * @final
  21.  */
  22. class TwoFactorAccessListener extends AbstractListener implements FirewallListenerInterface
  23. {
  24.     public function __construct(
  25.         private TwoFactorFirewallConfig $twoFactorFirewallConfig,
  26.         private TokenStorageInterface $tokenStorage,
  27.         private TwoFactorAccessDecider $twoFactorAccessDecider,
  28.     ) {
  29.     }
  31.     public function supports(Request $request): ?bool
  32.     {
  33.         // When the path is explicitly configured for anonymous access, no need to check access (important for lazy
  34.         // firewalls, to prevent the response cache control to be flagged "private")
  35.         return !$this->twoFactorAccessDecider->isPubliclyAccessible($request);
  36.     }
  38.     public function authenticate(RequestEvent $event): void
  39.     {
  40.         // When the firewall is lazy, the token is not initialized in the "supports" stage, so this check does only work
  41.         // within the "authenticate" stage.
  42.         $token $this->tokenStorage->getToken();
  43.         if (!($token instanceof TwoFactorTokenInterface)) {
  44.             // No need to check for firewall name here, the listener is bound to the firewall context
  45.             return;
  46.         }
  48.         $request $event->getRequest();
  49.         if ($this->twoFactorFirewallConfig->isCheckPathRequest($request)) {
  50.             return;
  51.         }
  53.         if ($this->twoFactorFirewallConfig->isAuthFormRequest($request)) {
  54.             return;
  55.         }
  57.         if (!$this->twoFactorAccessDecider->isAccessible($request$token)) {
  58.             $exception = new AccessDeniedException('User is in a two-factor authentication process.');
  59.             $exception->setSubject($request);
  61.             throw $exception;
  62.         }
  63.     }
  65.     public static function getPriority(): int
  66.     {
  67.         // When the class is injected via FirewallListenerFactoryInterface
  68.         // Inject before Symfony's AccessListener (-255) and after the LogoutListener (-127)
  69.         return -191;
  70.     }
  71. }