Permitir que los usuarios administradores editen cualquier tesoro
Keep on Learning!
If you liked what you've learned so far, dive in! Subscribe to get access to this tutorial plus video, code and script downloads.
With a Subscription, click any sentence in the script to jump to that part of the video!
Login SubscribeHemos configurado las cosas para que sólo el propietario de un tesoro pueda editarlo. Ahora ha llegado un nuevo requisito desde las alturas: los usuarios administradores deben poder editar cualquier tesoro. Eso significa que un usuario que tenga ROLE_ADMIN
.
¡A la prueba-móvil! Añade un public function testAdminCanPatchToEditTreasure()
. A continuación, crea un usuario administrador con UserFactory::createOne()
pasando los roles aROLE_ADMIN
:
// ... lines 1 - 12 | |
class DragonTreasureResourceTest extends ApiTestCase | |
{ | |
// ... lines 15 - 138 | |
public function testAdminCanPatchToEditTreasure(): void | |
{ | |
$admin = UserFactory::createOne(['roles' => ['ROLE_ADMIN']]); | |
} | |
} |
Métodos de Estado de Foundry
Eso funcionará bien. Pero si necesitamos crear muchos usuarios admin en nuestras pruebas, podemos añadir un acceso directo a Foundry. Abre UserFactory
. Vamos a crear algo llamado método "estado". En cualquier lugar de su interior, añade una función pública llamada, qué talwithRoles()
que tenga un argumento array $roles
y devuelva self
, lo que hará que esto sea más cómodo cuando lo utilicemos. Entoncesreturn $this->addState(['roles' => $roles])
:
// ... lines 1 - 30 | |
final class UserFactory extends ModelFactory | |
{ | |
// ... lines 33 - 54 | |
public function withRoles(array $roles): self | |
{ | |
return $this->addState(['roles' => $roles]); | |
} | |
// ... lines 59 - 92 | |
} |
Lo que pasemos a addState()
se convierte en parte de los datos que se utilizarán para hacer este usuario.
Para utilizar el método de estado, el código cambia a UserFactory::new()
. En lugar de crear un objeto User
, esto instanciará un nuevo UserFactory
... y entonces podremos llamar awithRoles()
y pasarle ROLE_ADMIN
:
Así, estamos "elaborando" el aspecto que queremos que tenga el usuario. Cuando hayamos terminado, llamamos acreate()
:
// ... lines 1 - 12 | |
class DragonTreasureResourceTest extends ApiTestCase | |
{ | |
// ... lines 15 - 138 | |
public function testAdminCanPatchToEditTreasure(): void | |
{ | |
$admin = UserFactory::new()->withRoles(['ROLE_ADMIN'])->create(); | |
} | |
} |
createOne()
es un método abreviado estático. Pero como tenemos una instancia de la fábrica, utiliza create()
.
Pero podemos ir aún más lejos. De vuelta en UserFactory
, añade otro método de estado llamadoasAdmin()
que devuelva self
. Dentro devuelve $this->withRoles(['ROLE_ADMIN'])
:
// ... lines 1 - 30 | |
final class UserFactory extends ModelFactory | |
{ | |
// ... lines 33 - 59 | |
public function asAdmin(): self | |
{ | |
return $this->withRoles(['ROLE_ADMIN']); | |
} | |
// ... lines 64 - 97 | |
} |
Gracias a eso, podemos simplificar a UserFactory::new()->asAdmin()->create()
:
// ... lines 1 - 12 | |
class DragonTreasureResourceTest extends ApiTestCase | |
{ | |
// ... lines 15 - 138 | |
public function testAdminCanPatchToEditTreasure(): void | |
{ | |
$admin = UserFactory::new()->asAdmin()->create(); | |
} | |
} |
¡Bien!
Escribir la prueba
Ahora vamos a poner en marcha esta prueba. Crea un nuevo $treasure
establecido enDragonTreasureFactory::createOne()
:
// ... lines 1 - 12 | |
class DragonTreasureResourceTest extends ApiTestCase | |
{ | |
// ... lines 15 - 138 | |
public function testAdminCanPatchToEditTreasure(): void | |
{ | |
$admin = UserFactory::new()->asAdmin()->create(); | |
$treasure = DragonTreasureFactory::createOne(); | |
// ... lines 143 - 153 | |
} | |
} |
Como no estamos pasando un owner
, esto creará un nuevo User
en segundo plano y lo utilizará como owner
. Esto significa que nuestro usuario administrador no será el propietario.
Ahora, $this->browser()->actingAs($adminUser)
luego ->patch()
a/api/treasures/
, $treasure->getId()
, enviando json
para actualizar value
al mismo 12345
. ->assertStatus(200)
y assertJsonMatches()
, value
, 12345
:
// ... lines 1 - 12 | |
class DragonTreasureResourceTest extends ApiTestCase | |
{ | |
// ... lines 15 - 138 | |
public function testAdminCanPatchToEditTreasure(): void | |
{ | |
$admin = UserFactory::new()->asAdmin()->create(); | |
$treasure = DragonTreasureFactory::createOne(); | |
$this->browser() | |
->actingAs($admin) | |
->patch('/api/treasures/'.$treasure->getId(), [ | |
'json' => [ | |
'value' => 12345, | |
], | |
]) | |
->assertStatus(200) | |
->assertJsonMatches('value', 12345) | |
; | |
} | |
} |
¡Genial! Copia el nombre del método. Vamos a probarlo:
symfony php bin/phpunit --filter=testAdminCanPatchToEditTreasure
Y... ¡vale! Aún no lo hemos implementado, así que falla.
Permitir a los administradores editar cualquier cosa
Entonces, ¿cómo permitimos que los administradores editen cualquier tesoro? Bueno, al principio es relativamente fácil porque tenemos el control total a través de la expresión security
. Así que podemos añadir algo como if is_granted("ROLE_ADMIN") OR
y luego poner paréntesis alrededor del otro caso de uso:
// ... lines 1 - 27 | |
( | |
// ... lines 29 - 30 | |
operations: [ | |
// ... lines 32 - 40 | |
new Patch( | |
security: 'is_granted("ROLE_ADMIN") or (is_granted("ROLE_TREASURE_EDIT") and object.getOwner() == user)', | |
// ... line 43 | |
), | |
// ... lines 45 - 47 | |
], | |
// ... lines 49 - 65 | |
) | |
// ... lines 67 - 87 | |
class DragonTreasure | |
{ | |
// ... lines 90 - 247 | |
} |
¡Asegurémonos de que funciona!
symfony php bin/phpunit --filter=testAdminCanPatchToEditTreasure
¡Un error 500! Veamos qué está pasando. Haz clic para abrir esto.
Token "nombre" inesperado alrededor de la posición 26.
Así que... eso ha sido un accidente. Cambia OR
por or
. Y... mueve también esta nueva lógica a securityPostDenormalize
:
// ... lines 1 - 27 | |
( | |
// ... lines 29 - 30 | |
operations: [ | |
// ... lines 32 - 40 | |
new Patch( | |
security: 'is_granted("ROLE_ADMIN") or (is_granted("ROLE_TREASURE_EDIT") and object.getOwner() == user)', | |
securityPostDenormalize: 'is_granted("ROLE_ADMIN") or object.getOwner() == user', | |
), | |
// ... lines 45 - 47 | |
], | |
// ... lines 49 - 65 | |
) | |
// ... lines 67 - 87 | |
class DragonTreasure | |
{ | |
// ... lines 90 - 247 | |
} |
Luego vuelve a intentar la prueba:
symfony php bin/phpunit --filter=testAdminCanPatchToEditTreasure
¡Lo tengo! Pero mi metedura de pata saca a relucir un gran punto: la expresión security
se está volviendo demasiado compleja. Es tan legible como un script PERL de una sola línea... y no queremos cometer errores cuando se trata de seguridad.
Así que, a continuación, centralicemos esta lógica con un votante.