src/API/EventSubscriber/Storefront/CartAccessValidationEventSubscriber.php line 39

Open in your IDE?
  1. <?php
  3. /**
  4.  * Copyright (c) 2011-present Qualiteam software Ltd. All rights reserved.
  5.  * See https://www.x-cart.com/license-agreement.html for license details.
  6.  */
  8. namespace XCart\API\EventSubscriber\Storefront;
  10. use ApiPlatform\Exception\InvalidArgumentException;
  11. use ApiPlatform\Exception\ItemNotFoundException;
  12. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  13. use Symfony\Component\HttpKernel\Event\RequestEvent;
  14. use Symfony\Component\HttpKernel\KernelEvents;
  15. use XLite\Model\Cart as CartModel;
  16. use XLite\Model\Profile as ProfileModel;
  17. use XLite\Model\OrderItem as CartItemModel;
  18. use XLite\Model\Repo\Cart as CartRepository;
  19. use XLite\Model\Repo\Orderitem as CartItemRepository;
  21. class CartAccessValidationEventSubscriber implements EventSubscriberInterface
  22. {
  23.     public function __construct(
  24.         private CartRepository $cartRepository,
  25.         private CartItemRepository $cartItemRepository,
  26.     ) {
  27.     }
  29.     public static function getSubscribedEvents(): array
  30.     {
  31.         return [
  32.             KernelEvents::REQUEST => [
  33.                 ['checkCart'6],
  34.                 ['checkCartItem'5],
  35.             ],
  36.         ];
  37.     }
  39.     public function checkCart(RequestEvent $event): void
  40.     {
  41.         if (!$event->isMainRequest() || $event->getRequest()->getMethod() === 'OPTIONS') {
  42.             return;
  43.         }
  45.         if (!preg_match('/api\/storefront\/carts\/([^\/]+)(?:\/|$)/S'$event->getRequest()->getPathInfo(), $match)) {
  46.             return;
  47.         }
  49.         $cartId $match[1];
  51.         /** @var ?CartModel $cart */
  52.         $cart $this->cartRepository->findOneBy(['public_id' => $cartId]);
  53.         if (!$cart) {
  54.             throw new ItemNotFoundException('Cart not found');
  55.         }
  57.         /** @var ProfileModel $user */
  58.         $user $event->getRequest()->attributes->get('_profile');
  60.         $cartProfile     $cart->getProfile();
  61.         $cartOrigProfile $cart->getOrigProfile();
  63.         // User anonymous and cart for registered user - security violation
  64.         if (!$user && !$cartProfile->getAnonymous()) {
  65.             throw new ItemNotFoundException('Cart for anonymous user not found');
  66.         }
  68.         // User is not anonymous and cart for anonymous user - security violation
  69.         if ($user && $cartProfile->getAnonymous()) {
  70.             throw new ItemNotFoundException('Cart for registered user not found');
  71.         }
  73.         if ($user && $user->getProfileId() !== $cartOrigProfile->getProfileId()) {
  74.             throw new ItemNotFoundException('Cart assigned to another user');
  75.         }
  77.         $event->getRequest()->attributes->set('_cart_id'$cart->getOrderId());
  78.         $event->getRequest()->attributes->set('_cart'$cart);
  79.         $event->getRequest()->attributes->set('_profile_id'$cartProfile->getProfileId());
  80.         $event->getRequest()->attributes->set('_profile'$cartProfile);
  81.     }
  83.     public function checkCartItem(RequestEvent $event): void
  84.     {
  85.         if (!$event->isMainRequest() || $event->getRequest()->getMethod() === 'OPTIONS') {
  86.             return;
  87.         }
  89.         if (!preg_match('/api\/storefront\/carts\/[^\/]+\/items\/(\d+)/S'$event->getRequest()->getPathInfo(), $match)) {
  90.             return;
  91.         }
  93.         $itemId = (int) $match[1];
  95.         if ($itemId <= 0) {
  96.             throw new InvalidArgumentException('Cart item ID Must be positive numeric');
  97.         }
  99.         /** @var ?CartItemModel $cart */
  100.         $item $this->cartItemRepository->find($itemId);
  101.         if (!$item) {
  102.             throw new ItemNotFoundException('Cart item not found');
  103.         }
  105.         if ($item->getOrder()->getOrderId() !== $event->getRequest()->attributes->get('_cart')->getOrderId()) {
  106.             throw new ItemNotFoundException('Cart item not found in cart');
  107.         }
  108.     }
  109. }