如何在Api-Platform中按链接属性过滤结果?
我有一个User实体和一个Organisation实体,Booking和User之间有关系:
/**
* @ORMManyToOne(targetEntity="AppEntityUser", inversedBy="bookings")
* @ORMJoinColumn(nullable=false)
*/
private $user;
User实体有一个名为Country的属性。我想将预订设置为仅显示与登录用户相同的国家/地区的用户所做的记录。这就是我尝试的方式
collectionOperations={
* "get"={
* "access_control"="object.getUser().getOrganisation() == user.organisation"
* "normalization_context"={
* "groups"={"read"}
* }
* },
当然不起作用。
我知道我可以筛选查询字符串中的传递参数,但我需要在API端筛选这些结果,而不是由客户端筛选。
解决方案
在Security page of the docs上显示:
必须直接在数据提供程序级别根据当前用户的角色或权限筛选集合。例如,在使用Doctrine ORM、MongoDB和ElasticSearch的内置适配器时,应使用扩展从集合中删除条目。
查看extensions,您需要执行以下操作:
final class BookingOwnerExtension implements QueryCollectionExtensionInterface
{
private $security;
public function __construct(Security $security)
{
$this->security = $security;
}
public function applyToCollection(QueryBuilder $queryBuilder, QueryNameGeneratorInterface $queryNameGenerator, string $resourceClass, string $operationName = null)
{
if (Booking::class !== $resourceClass || $this->security->isGranted('ROLE_ADMIN') || null === $user = $this->security->getUser()) {
return;
}
$organization = $user->getOrganization()
$rootAlias = $queryBuilder->getRootAliases()[0];
$queryBuilder
->leftJoin(sprintf('%s.user', $rootAlias), 'u')
->andWhere('user.organization = :organization')
->setParameter('organization', $organization);
}
}
这很可能就足够了,但如果您不使用自动配置,则必须使用适当的标记注册自定义扩展:
# api/config/services.yaml
services:
# ...
'AppDoctrineBookingOwnerExtension':
tags:
- { name: api_platform.doctrine.orm.query_extension.collection }
相关文章