src/Controller/WorkroomChatController.php line 195

Open in your IDE?
  1. <?php
  3. namespace App\Controller;
  5. use App\Entity\User;
  6. use App\Entity\Workroom;
  7. use App\Entity\WorkroomArena;
  8. use App\Entity\WorkroomChatMessage;
  9. use App\Repository\WorkroomArenaRepository;
  10. use App\Repository\WorkroomChatMessageRepository;
  11. use App\Repository\WorkroomRepository;
  12. use App\Security\Voter\WorkroomVoter;
  13. use Doctrine\ORM\EntityManagerInterface;
  14. use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
  15. use Symfony\Component\HttpFoundation\JsonResponse;
  16. use Symfony\Component\HttpFoundation\Request;
  17. use Symfony\Component\Mercure\HubInterface;
  18. use Symfony\Component\Mercure\Update;
  19. use Symfony\Component\Routing\Annotation\Route;
  21. /**
  22.  * Chat workroom natif (Phase 23) — remplace l'ancien chat-block CKEditor
  23.  * Cloud Services par une implémentation Symfony + Mercure SSE + Doctrine.
  24.  *
  25.  * Sécurité : voter `WorkroomVoter::WORKROOM_VIEW` (= membre du workroom)
  26.  * gardes toutes les routes. Anti-IDOR par UUID forgé.
  27.  *
  28.  * Realtime : on publie sur le topic Mercure `/workroom/{uuid}/chat` à
  29.  * chaque envoi de message + chaque heartbeat presence. Le browser est en
  30.  * écoute SSE sur ce topic et merge les messages dans la liste DOM.
  31.  *
  32.  * Routes :
  33.  *   - GET  /workroom/{uuid}/chat/messages    historique 50 derniers
  34.  *   - POST /workroom/{uuid}/chat/messages    envoie + publish Mercure
  35.  *   - DELETE /workroom/chat/messages/{id}    supprime un message (auteur uniquement)
  36.  *   - POST /workroom/{uuid}/chat/presence    heartbeat presence (publish ping)
  37.  */
  38. class WorkroomChatController extends AbstractController
  39. {
  40.     /** Garde-fou anti-spam — un client ne peut envoyer plus de messages
  41.      *  que ça par minute (FeatureRateLimiter au cas où, mais aussi ce cap
  42.      *  applicatif léger en cas d'abus de l'API direct). */
  43.     private const MAX_MESSAGE_LENGTH 4000;
  45.     public function __construct(
  46.         private readonly EntityManagerInterface $em,
  47.         private readonly WorkroomChatMessageRepository $messages,
  48.         private readonly WorkroomRepository $workrooms,
  49.         private readonly WorkroomArenaRepository $arenas,
  50.         private readonly HubInterface $hub,
  51.     ) {}
  53.     private function currentUser(): ?User
  54.     {
  55.         $u $this->getUser();
  56.         return $u instanceof User $u null;
  57.     }
  59.     /**
  60.      * Résout un UUID en Workroom OU WorkroomArena (chat polymorphique).
  61.      * Voter `WorkroomVoter::WORKROOM_VIEW` appliqué dans les deux cas — pour
  62.      * une arène, on vérifie le voter sur le workroom parent (être membre du
  63.      * workroom suffit pour voir les arènes qui en sont des forks).
  64.      */
  65.     private function loadContainer(string $uuid): Workroom|WorkroomArena|null
  66.     {
  67.         $w $this->workrooms->findOneBy(['uuid' => $uuid]);
  68.         if ($w) {
  69.             if (!$this->isGranted(WorkroomVoter::WORKROOM_VIEW$w)) return null;
  70.             return $w;
  71.         }
  72.         $arena $this->arenas->findOneBy(['uuid' => $uuid]);
  73.         if ($arena) {
  74.             $parent $arena->getWorkroom();
  75.             if (!$parent || !$this->isGranted(WorkroomVoter::WORKROOM_VIEW$parent)) return null;
  76.             return $arena;
  77.         }
  78.         return null;
  79.     }
  81.     /** @deprecated remplacé par loadContainer */
  82.     private function loadWorkroom(string $uuid): ?Workroom
  83.     {
  84.         $c $this->loadContainer($uuid);
  85.         return $c instanceof Workroom $c null;
  86.     }
  88.     /** Historique des 50 derniers messages (DESC). */
  89.     #[Route('/workroom/{uuid}/chat/messages'name'workroom_chat_list'methods: ['GET'], options: ['expose' => true])]
  90.     public function list(string $uuid): JsonResponse
  91.     {
  92.         $user $this->currentUser();
  93.         if (!$user) return new JsonResponse(['error' => 'unauthorized'], 401);
  94.         $container $this->loadContainer($uuid);
  95.         if (!$container) return new JsonResponse(['error' => 'forbidden'], 403);
  97.         $items $container instanceof WorkroomArena
  98.             $this->messages->findRecentForArena($container50)
  99.             : $this->messages->findRecentForWorkroom($container50);
  100.         return new JsonResponse([
  101.             'messages' => array_map(static fn (WorkroomChatMessage $m) => $m->toArray(), $items),
  102.             'topic' => $this->topicForContainer($container),
  103.         ]);
  104.     }
  106.     /** Envoie un message + publie sur Mercure pour les autres clients. */
  107.     #[Route('/workroom/{uuid}/chat/messages'name'workroom_chat_send'methods: ['POST'], options: ['expose' => true])]
  108.     public function send(string $uuidRequest $request): JsonResponse
  109.     {
  110.         $user $this->currentUser();
  111.         if (!$user) return new JsonResponse(['error' => 'unauthorized'], 401);
  112.         $container $this->loadContainer($uuid);
  113.         if (!$container) return new JsonResponse(['error' => 'forbidden'], 403);
  115.         $body json_decode($request->getContent(), true) ?? [];
  116.         $text trim((string) ($body['text'] ?? ''));
  117.         if ($text === '') return new JsonResponse(['error' => 'text_required'], 400);
  118.         if (mb_strlen($text) > self::MAX_MESSAGE_LENGTH) {
  119.             return new JsonResponse(['error' => 'text_too_long''max' => self::MAX_MESSAGE_LENGTH], 400);
  120.         }
  122.         $msg = (new WorkroomChatMessage())
  123.             ->setUser($user)
  124.             ->setText($text);
  125.         if ($container instanceof WorkroomArena) {
  126.             $msg->setWorkroomArena($container);
  127.         } else {
  128.             $msg->setWorkroom($container);
  129.         }
  130.         $this->em->persist($msg);
  131.         $this->em->flush();
  133.         try {
  134.             $this->hub->publish(new Update(
  135.                 $this->topicForContainer($container),
  136.                 json_encode([
  137.                     'type' => 'message',
  138.                     'message' => $msg->toArray(),
  139.                 ], JSON_UNESCAPED_UNICODE),
  140.             ));
  141.         } catch (\Throwable) {}
  143.         return new JsonResponse(['message' => $msg->toArray()], 201);
  144.     }
  146.     /** Suppression d'un message (auteur uniquement). */
  147.     #[Route('/workroom/chat/messages/{id}'name'workroom_chat_delete'methods: ['DELETE'], requirements: ['id' => '\d+'], options: ['expose' => true])]
  148.     public function delete(int $id): JsonResponse
  149.     {
  150.         $user $this->currentUser();
  151.         if (!$user) return new JsonResponse(['error' => 'unauthorized'], 401);
  153.         $msg $this->messages->find($id);
  154.         if (!$msg) return new JsonResponse(['error' => 'not_found'], 404);
  155.         if ($msg->getUser()?->getId() !== $user->getId()) {
  156.             return new JsonResponse(['error' => 'forbidden'], 403);
  157.         }
  158.         // Vérif permission selon le container du message (workroom direct OU
  159.         // arène — pour l'arène on remonte au workroom parent).
  160.         $workroom $msg->getWorkroom();
  161.         $arena $msg->getWorkroomArena();
  162.         $checkWorkroom $workroom ?? $arena?->getWorkroom();
  163.         if ($checkWorkroom && !$this->isGranted(WorkroomVoter::WORKROOM_VIEW$checkWorkroom)) {
  164.             return new JsonResponse(['error' => 'forbidden'], 403);
  165.         }
  167.         $messageId $msg->getId();
  168.         $topic $workroom $this->topicForContainer($workroom)
  169.                 : ($arena $this->topicForContainer($arena) : null);
  171.         $this->em->remove($msg);
  172.         $this->em->flush();
  174.         if ($topic) {
  175.             try {
  176.                 $this->hub->publish(new Update($topicjson_encode([
  177.                     'type' => 'delete',
  178.                     'messageId' => $messageId,
  179.                 ], JSON_UNESCAPED_UNICODE)));
  180.             } catch (\Throwable) {}
  181.         }
  183.         return new JsonResponse(['deleted' => true]);
  184.     }
  186.     /**
  187.      * Heartbeat presence — le client appelle cette route toutes les 15s
  188.      * tant que le panel chat est ouvert. Le serveur publish un ping sur
  189.      * Mercure ; les autres clients en déduisent qui est en ligne (timeout
  190.      * 45s côté browser = "user disparu de la presence list").
  191.      *
  192.      * On ne stocke RIEN en DB (presence = éphémère, pure Mercure).
  193.      */
  194.     #[Route('/workroom/{uuid}/chat/presence'name'workroom_chat_presence'methods: ['POST'], options: ['expose' => true])]
  195.     public function presence(string $uuid\Psr\Cache\CacheItemPoolInterface $cache): JsonResponse
  196.     {
  197.         $user $this->currentUser();
  198.         if (!$user) return new JsonResponse(['error' => 'unauthorized'], 401);
  199.         $container $this->loadContainer($uuid);
  200.         if (!$container) return new JsonResponse(['error' => 'forbidden'], 403);
  202.         // Persist en cache.app pour qu'un autre user puisse fetcher la liste live
  203.         // sans dépendre de SSE (filet de sécurité indépendant). Pattern PSR-6
  204.         // direct (getItem/set/save) pour pouvoir update en-place.
  205.         $cacheKey self::presenceCacheKey($container);
  206.         try {
  207.             $now time();
  208.             $item $cache->getItem($cacheKey);
  209.             $map $item->isHit() ? (array) $item->get() : [];
  210.             $map[$user->getId()] = [
  211.                 'id' => $user->getId(),
  212.                 'firstName' => $user->getFirstName(),
  213.                 'lastName' => $user->getLastName(),
  214.                 'at' => $now,
  215.             ];
  216.             foreach ($map as $uid => $entry) {
  217.                 if (($entry['at'] ?? 0) < $now 20) unset($map[$uid]);
  218.             }
  219.             $item->set($map);
  220.             $item->expiresAfter(60);
  221.             $cache->save($item);
  222.         } catch (\Throwable) {}
  224.         try {
  225.             $this->hub->publish(new Update($this->topicForContainer($container), json_encode([
  226.                 'type' => 'presence',
  227.                 'user' => [
  228.                     'id' => $user->getId(),
  229.                     'firstName' => $user->getFirstName(),
  230.                     'lastName' => $user->getLastName(),
  231.                 ],
  232.                 'at' => time(),
  233.             ], JSON_UNESCAPED_UNICODE)));
  234.         } catch (\Throwable) {}
  236.         return new JsonResponse(['ok' => true]);
  237.     }
  239.     /**
  240.      * GET /workroom/{uuid}/chat/presence — liste des users actuellement en
  241.      * ligne pour ce workroom/arena. Filet de sécurité indépendant de SSE :
  242.      * le frontend poll cet endpoint toutes les 5-10s pour repeupler la
  243.      * presence list si Mercure échoue à délivrer les events temps réel.
  244.      */
  245.     #[Route('/workroom/{uuid}/chat/presence'name'workroom_chat_presence_list'methods: ['GET'], options: ['expose' => true])]
  246.     public function presenceList(string $uuid\Psr\Cache\CacheItemPoolInterface $cache): JsonResponse
  247.     {
  248.         $user $this->currentUser();
  249.         if (!$user) return new JsonResponse(['error' => 'unauthorized'], 401);
  250.         $container $this->loadContainer($uuid);
  251.         if (!$container) return new JsonResponse(['error' => 'forbidden'], 403);
  253.         $now time();
  254.         $users = [];
  255.         try {
  256.             $item $cache->getItem(self::presenceCacheKey($container));
  257.             $map $item->isHit() ? (array) $item->get() : [];
  258.             foreach ($map as $entry) {
  259.                 if (($entry['at'] ?? 0) >= $now 20) {
  260.                     $users[] = [
  261.                         'id' => $entry['id'],
  262.                         'firstName' => $entry['firstName'] ?? '',
  263.                         'lastName' => $entry['lastName'] ?? '',
  264.                     ];
  265.                 }
  266.             }
  267.         } catch (\Throwable) {}
  268.         return new JsonResponse(['users' => $users]);
  269.     }
  271.     private static function presenceCacheKey(Workroom|WorkroomArena $c): string
  272.     {
  273.         return 'presence_state_'.$c->getUuid();
  274.     }
  276.     /**
  277.      * Topic Mercure du chat. Distinct entre workroom et arène pour ne pas
  278.      * mélanger les conversations (une arène = fork avec son propre fil).
  279.      */
  280.     private function topicForContainer(Workroom|WorkroomArena $c): string
  281.     {
  282.         $prefix $c instanceof WorkroomArena '/arena/' '/workroom/';
  283.         return $prefix $c->getUuid() . '/chat';
  284.     }
  285. }