src/EventSubscriber/AuthMiddleware.php line 94

Open in your IDE?
  1. <?php
  3. namespace App\EventSubscriber;
  5. use App\Service\UserService;
  6. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  7. use Symfony\Component\HttpFoundation\JsonResponse;
  8. use Symfony\Component\HttpFoundation\Response;
  9. use Symfony\Component\HttpKernel\Event\RequestEvent;
  10. use Symfony\Component\HttpKernel\KernelEvents;
  12. /**
  13.  * JWT Authentication Middleware
  14.  *
  15.  * Validates Bearer tokens on protected routes and injects
  16.  * the authenticated AppUser into the request attributes.
  17.  *
  18.  * Public routes (no auth required):
  19.  * - /auth/login
  20.  * - /auth/setup
  21.  * - Pimcore admin routes (/admin/*)
  22.  *
  23.  * Backward-compatible routes (accept both JWT and legacy userid):
  24.  * - /dashboard
  25.  * - /picking_*
  26.  * - /stockAll
  27.  * - All other existing endpoints that use ?userid=
  28.  */
  29. class AuthMiddleware implements EventSubscriberInterface
  30. {
  31.     private UserService $userService;
  33.     /**
  34.      * Routes that never require authentication
  35.      */
  36.     private const PUBLIC_ROUTES = [
  37.         '/auth/login',
  38.         '/auth/setup',
  39.     ];
  41.     /**
  42.      * Route prefixes that are always public
  43.      */
  44.     private const PUBLIC_PREFIXES = [
  45.         '/admin',
  46.         '/_profiler',
  47.         '/_wdt',
  48.         '/public/',
  49.     ];
  51.     /**
  52.      * Routes that accept JWT but don't require it (backward compat)
  53.      * These still work with ?userid= parameter
  54.      */
  55.     private const OPTIONAL_AUTH_PREFIXES = [
  56.         '/dashboard',
  57.         '/picking_',
  58.         '/picklist',
  59.         '/stockAll',
  60.         '/stockdata',
  61.         '/stockdirectories',
  62.         '/orderData',
  63.         '/orders',
  64.         '/fullorders',
  65.         '/fullorder',
  66.         '/plc/',
  67.         '/paketa/',
  68.         '/printlabel',
  69.         '/document',
  70.         '/invoices',
  71.         '/invoice_categories',
  72.         '/import',
  73.         '/resetpicklist',
  74.         '/importpicklist',
  75.         '/upsertstock',
  76.         '/updatePickStatus',
  77.         '/deletePicklistOrder',
  78.         '/crosschannel',
  79.         '/api/',
  80.     ];
  82.     public function __construct(UserService $userService)
  83.     {
  84.         $this->userService $userService;
  85.     }
  87.     public static function getSubscribedEvents(): array
  88.     {
  89.         return [
  90.             KernelEvents::REQUEST => ['onKernelRequest'10],
  91.         ];
  92.     }
  94.     public function onKernelRequest(RequestEvent $event): void
  95.     {
  96.         if (!$event->isMainRequest()) {
  97.             return;
  98.         }
  100.         $request $event->getRequest();
  101.         $path $request->getPathInfo();
  103.         // Always allow public routes
  104.         if ($this->isPublicRoute($path)) {
  105.             return;
  106.         }
  108.         // Try to extract and validate JWT token
  109.         $authHeader $request->headers->get('Authorization''');
  110.         $token null;
  112.         if (strpos($authHeader'Bearer ') === 0) {
  113.             $token substr($authHeader7);
  114.         }
  116.         if ($token) {
  117.             $user $this->userService->validateToken($token);
  119.             if ($user) {
  120.                 // Inject authenticated user into request for controllers
  121.                 $request->attributes->set('_auth_user'$user);
  122.                 // Also set the userid for backward compat with existing code
  123.                 $request->query->set('userid'$user->getUsername());
  125.                 return;
  126.             }
  128.             // Token was provided but invalid — only reject on protected routes
  129.             if (!$this->isOptionalAuthRoute($path)) {
  130.                 $event->setResponse(new JsonResponse(
  131.                     ['error' => 'Invalid or expired token'],
  132.                     Response::HTTP_UNAUTHORIZED
  133.                 ));
  135.                 return;
  136.             }
  137.         }
  139.         // No token: if it's an optional-auth route, let it through (backward compat)
  140.         if ($this->isOptionalAuthRoute($path)) {
  141.             return;
  142.         }
  144.         // Protected route with no valid token
  145.         if ($this->isProtectedRoute($path)) {
  146.             $event->setResponse(new JsonResponse(
  147.                 ['error' => 'Authentication required'],
  148.                 Response::HTTP_UNAUTHORIZED
  149.             ));
  150.         }
  151.     }
  153.     private function isPublicRoute(string $path): bool
  154.     {
  155.         foreach (self::PUBLIC_ROUTES as $route) {
  156.             if ($path === $route) {
  157.                 return true;
  158.             }
  159.         }
  161.         foreach (self::PUBLIC_PREFIXES as $prefix) {
  162.             if (strpos($path$prefix) === 0) {
  163.                 return true;
  164.             }
  165.         }
  167.         return false;
  168.     }
  170.     private function isOptionalAuthRoute(string $path): bool
  171.     {
  172.         foreach (self::OPTIONAL_AUTH_PREFIXES as $prefix) {
  173.             if (strpos($path$prefix) === 0) {
  174.                 return true;
  175.             }
  176.         }
  178.         return false;
  179.     }
  181.     private function isProtectedRoute(string $path): bool
  182.     {
  183.         // Routes that strictly require auth
  184.         $protectedPrefixes = [
  185.             '/auth/me',
  186.             '/auth/users',
  187.             '/rounds',
  188.         ];
  190.         foreach ($protectedPrefixes as $prefix) {
  191.             if (strpos($path$prefix) === 0) {
  192.                 return true;
  193.             }
  194.         }
  196.         return false;
  197.     }
  198. }