src/Controller/Plugin/PluginTokenController.php line 32

Open in your IDE?
  1. <?php
  3. namespace App\Controller\Plugin;
  5. use App\Entity\FeatureAccess;
  6. use App\Entity\User;
  7. use App\Service\Ai\FeatureAccessService;
  8. use App\Service\Ai\PluginAccessToken;
  9. use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
  10. use Symfony\Component\HttpFoundation\JsonResponse;
  11. use Symfony\Component\HttpFoundation\Request;
  12. use Symfony\Component\RateLimiter\RateLimiterFactory;
  13. use Symfony\Component\Routing\Annotation\Route;
  15. /**
  16.  * Endpoints utilisés par les plugins Euro-Office (cross-origin) pour
  17.  *  - obtenir un access_token court-lived (auth Symfony)
  18.  *  - récupérer la liste des features autorisées/refusées pour le user courant
  19.  *
  20.  * L'access_token /api/plugin/access-token est servi same-origin (cookie session
  21.  * de la page workroom) puis transmis en Bearer aux plugins iframe.
  22.  */
  23. class PluginTokenController extends AbstractController
  24. {
  25.     public function __construct(
  26.         private readonly PluginAccessToken $accessToken,
  27.         private readonly FeatureAccessService $featureAccess,
  28.         private readonly RateLimiterFactory $pluginTokenLimiter,
  29.     ) {}
  31.     #[Route('/api/plugin/access-token'name'plugin_access_token'methods: ['GET'], options: ['expose' => true])]
  32.     public function token(Request $request): JsonResponse
  33.     {
  34.         /** @var User|null $user */
  35.         $user $this->getUser();
  36.         if (!$user) return new JsonResponse(['error' => 'unauthorized'], 401);
  38.         // Rate-limit (cf. plugin_token in rate_limiter.yaml). Sans cette limite,
  39.         // l'endpoint pouvait servir un nombre illimité de JWTs (DoS / spam).
  40.         $limit $this->pluginTokenLimiter->create('user-'.$user->getId())->consume();
  41.         if (!$limit->isAccepted()) {
  42.             $resp = new JsonResponse(['error' => 'rate_limited''retryAfter' => $limit->getRetryAfter()->getTimestamp() - time()], 429);
  43.             $resp->headers->set('Retry-After', (string) ($limit->getRetryAfter()->getTimestamp() - time()));
  44.             return $resp;
  45.         }
  47.         return new JsonResponse([
  48.             'token' => $this->accessToken->generate($user),
  49.             'expiresIn' => $this->accessToken->getTtl(),
  50.         ]);
  51.     }
  53.     /**
  54.      * Retourne la map des features autorisées/refusées pour l'utilisateur
  55.      * courant. Utilisé par le plugin "labomega-bootstrap" (autostart) pour
  56.      * masquer les boutons des plugins désactivés dans la barre OnlyOffice.
  57.      *
  58.      * Auth : session cookie (same-origin) OU Bearer / X-Plugin-Token
  59.      * (cross-origin depuis un plugin iframe).
  60.      */
  61.     #[Route('/api/plugin/features'name'plugin_features'methods: ['GET'], options: ['expose' => true])]
  62.     public function features(Request $request): JsonResponse
  63.     {
  64.         $user $this->resolveUser($request);
  65.         if (!$user) return new JsonResponse(['error' => 'unauthorized'], 401);
  67.         $r = new JsonResponse(null);
  68.         $r->setEncodingOptions(JSON_UNESCAPED_UNICODE);
  69.         $r->setData([
  70.             'features' => $this->featureAccess->getResolvedAccessMap($user),
  71.             'disabled' => $this->featureAccess->getDisabledFeatures($user),
  72.             'available' => FeatureAccess::FEATURES,
  73.         ]);
  74.         return $r;
  75.     }
  77.     private function resolveUser(Request $request): ?User
  78.     {
  79.         $u $this->getUser();
  80.         if ($u instanceof User) return $u;
  82.         $token $request->query->get('access_token')
  83.             ?? $request->headers->get('X-Plugin-Token');
  84.         if (!$token) {
  85.             $auth $request->headers->get('Authorization''');
  86.             if (str_starts_with($auth'Bearer ')) $token substr($auth7);
  87.         }
  88.         return $token $this->accessToken->resolveUser($token) : null;
  89.     }
  90. }