app/controllers/user_roles_controller.rb

   1 class UserRolesController < ApplicationController
   2   layout 'site'
   3
   4   before_filter :authorize_web
   5   before_filter :require_user
   6   before_filter :require_administrator
   7
   8   def grant
   9     # added a random nonce here which isn't predictable, making an CSRF procedure much, much more difficult.
  10     if params[:nonce] and params[:nonce] == session[:nonce]
  11       this_user = User.find_by_display_name(params[:display_name], :conditions => {:visible => true})
  12       if this_user and UserRole::ALL_ROLES.include? params[:role]
  13         this_user.roles.create(:role => params[:role])
  14         redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
  15       else
  16         flash[:notice] = t('user_role.grant.fail', :role => params[:role], :name => params[:display_name])
  17       end
  18     else
  19       @nonce = OAuth::Helper.generate_nonce
  20       session[:nonce] = @nonce
  21     end
  22   end
  23
  24   def revoke
  25     # added a random nonce here which isn't predictable, making an CSRF procedure much, much more difficult.
  26     if params[:nonce] and params[:nonce] == session[:nonce]
  27       this_user = User.find_by_display_name(params[:display_name], :conditions => {:visible => true})
  28       if this_user and UserRole::ALL_ROLES.include? params[:role]
  29         UserRole.delete_all({:user_id => this_user.id, :role => params[:role]})
  30         redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
  31       else
  32         flash[:notice] = t('user_role.revoke.fail', :role => params[:role], :name => params[:display_name])
  33       end
  34     else
  35       @nonce = OAuth::Helper.generate_nonce
  36       session[:nonce] = @nonce
  37     end
  38   end
  39
  40   private
  41   def require_administrator
  42     redirect_to "/403.html" unless @user.administrator?
  43   end
  44
  45 end