app/controllers/user_controller.rb

   1 class UserController < ApplicationController
   2   layout 'site', :except => :api_details
   3
   4   before_filter :authorize, :only => [:api_details, :api_gpx_files]
   5   before_filter :authorize_web, :except => [:api_details, :api_gpx_files]
   6   before_filter :set_locale, :except => [:api_details, :api_gpx_files]
   7   before_filter :require_user, :only => [:set_home, :account, :go_public, :make_friend, :remove_friend, :upload_image, :delete_image]
   8   before_filter :check_database_readable, :except => [:api_details, :api_gpx_files]
   9   before_filter :check_database_writable, :only => [:login, :new, :set_home, :account, :go_public, :make_friend, :remove_friend, :upload_image, :delete_image]
  10   before_filter :check_api_readable, :only => [:api_details, :api_gpx_files]
  11   before_filter :require_allow_read_prefs, :only => [:api_details]
  12   before_filter :require_allow_read_gpx, :only => [:api_gpx_files]
  13   before_filter :require_cookies, :only => [:login, :confirm]
  14   before_filter :require_administrator, :only => [:activate, :deactivate, :hide, :unhide, :delete]
  15   before_filter :lookup_this_user, :only => [:activate, :deactivate, :hide, :unhide, :delete]
  16
  17   filter_parameter_logging :password, :pass_crypt, :pass_crypt_confirmation
  18
  19   cache_sweeper :user_sweeper, :only => [:account, :hide, :unhide, :delete]
  20
  21   def save
  22     @title = t 'user.new.title'
  23
  24     if Acl.find_by_address(request.remote_ip, :conditions => {:k => "no_account_creation"})
  25       render :action => 'new'
  26     else
  27       @user = User.new(params[:user])
  28
  29       @user.visible = true
  30       @user.data_public = true
  31       @user.description = "" if @user.description.nil?
  32       @user.creation_ip = request.remote_ip
  33       @user.languages = request.user_preferred_languages
  34
  35       if @user.save
  36         flash[:notice] = t 'user.new.flash create success message'
  37         Notifier.deliver_signup_confirm(@user, @user.tokens.create(:referer => params[:referer]))
  38         redirect_to :action => 'login'
  39       else
  40         render :action => 'new'
  41       end
  42     end
  43   end
  44
  45   def account
  46     @title = t 'user.account.title'
  47     @tokens = @user.oauth_tokens.find :all, :conditions => 'oauth_tokens.invalidated_at is null and oauth_tokens.authorized_at is not null'
  48
  49     if params[:user] and params[:user][:display_name] and params[:user][:description]
  50       @user.display_name = params[:user][:display_name]
  51       @user.new_email = params[:user][:new_email]
  52
  53       if params[:user][:pass_crypt].length > 0 or params[:user][:pass_crypt_confirmation].length > 0
  54         @user.pass_crypt = params[:user][:pass_crypt]
  55         @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
  56       end
  57
  58       @user.description = params[:user][:description]
  59       @user.languages = params[:user][:languages].split(",")
  60       @user.home_lat = params[:user][:home_lat]
  61       @user.home_lon = params[:user][:home_lon]
  62
  63       if @user.save
  64         set_locale
  65
  66         if @user.new_email.nil? or @user.new_email.empty?
  67           flash.now[:notice] = t 'user.account.flash update success'
  68         else
  69           flash.now[:notice] = t 'user.account.flash update success confirm needed'
  70           Notifier.deliver_email_confirm(@user, @user.tokens.create)
  71         end
  72       end
  73     else
  74       if flash[:errors]
  75         flash[:errors].each do |attr,msg|
  76           attr = "new_email" if attr == "email"
  77           @user.errors.add(attr,msg)
  78         end
  79       end
  80     end
  81   end
  82
  83   def set_home
  84     if params[:user][:home_lat] and params[:user][:home_lon]
  85       @user.home_lat = params[:user][:home_lat].to_f
  86       @user.home_lon = params[:user][:home_lon].to_f
  87       if @user.save
  88         flash[:notice] = t 'user.set_home.flash success'
  89         redirect_to :controller => 'user', :action => 'account'
  90       end
  91     end
  92   end
  93
  94   def go_public
  95     @user.data_public = true
  96     @user.save
  97     flash[:notice] = t 'user.go_public.flash success'
  98     redirect_to :controller => 'user', :action => 'account', :display_name => @user.display_name
  99   end
 100
 101   def lost_password
 102     @title = t 'user.lost_password.title'
 103
 104     if params[:user] and params[:user][:email]
 105       user = User.find_by_email(params[:user][:email], :conditions => {:visible => true})
 106
 107       if user
 108         token = user.tokens.create
 109         Notifier.deliver_lost_password(user, token)
 110         flash.now[:notice] = t 'user.lost_password.notice email on way'
 111       else
 112         flash.now[:error] = t 'user.lost_password.notice email cannot find'
 113       end
 114     end
 115   end
 116
 117   def reset_password
 118     @title = t 'user.reset_password.title'
 119
 120     if params[:token]
 121       token = UserToken.find_by_token(params[:token])
 122
 123       if token
 124         @user = token.user
 125
 126         if params[:user]
 127           @user.pass_crypt = params[:user][:pass_crypt]
 128           @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
 129           @user.active = true
 130           @user.email_valid = true
 131
 132           if @user.save
 133             token.destroy
 134             flash[:notice] = t 'user.reset_password.flash changed'
 135             redirect_to :action => 'login'
 136           end
 137         end
 138       else
 139         flash[:error] = t 'user.reset_password.flash token bad'
 140         redirect_to :action => 'lost_password'
 141       end
 142     end
 143   end
 144
 145   def new
 146     @title = t 'user.new.title'
 147
 148     # The user is logged in already, so don't show them the signup page, instead
 149     # send them to the home page
 150     redirect_to :controller => 'site', :action => 'index' if session[:user]
 151   end
 152
 153   def login
 154     if params[:user] and session[:user].nil?
 155       email_or_display_name = params[:user][:email]
 156       pass = params[:user][:password]
 157       user = User.authenticate(:username => email_or_display_name, :password => pass)
 158       if user
 159         session[:user] = user.id
 160       elsif User.authenticate(:username => email_or_display_name, :password => pass, :inactive => true)
 161         flash.now[:error] = t 'user.login.account not active'
 162       else
 163         flash.now[:error] = t 'user.login.auth failure'
 164       end
 165     end
 166
 167     if session[:user]
 168       # The user is logged in, if the referer param exists, redirect them to that
 169       # unless they've also got a block on them, in which case redirect them to
 170       # the block so they can clear it.
 171       user = User.find(session[:user])
 172       block = user.blocked_on_view
 173       if block
 174         redirect_to block, :referrer => params[:referrer]
 175       elsif params[:referer]
 176         redirect_to params[:referer]
 177       else
 178         redirect_to :controller => 'site', :action => 'index'
 179       end
 180       return
 181     end
 182
 183     @title = t 'user.login.title'
 184   end
 185
 186   def logout
 187     if session[:token]
 188       token = UserToken.find_by_token(session[:token])
 189       if token
 190         token.destroy
 191       end
 192       session[:token] = nil
 193     end
 194     session[:user] = nil
 195     if params[:referer]
 196       redirect_to params[:referer]
 197     else
 198       redirect_to :controller => 'site', :action => 'index'
 199     end
 200   end
 201
 202   def confirm
 203     if params[:confirm_action]
 204       token = UserToken.find_by_token(params[:confirm_string])
 205       if token and !token.user.active?
 206         @user = token.user
 207         @user.active = true
 208         @user.email_valid = true
 209         @user.save!
 210         referer = token.referer
 211         token.destroy
 212         flash[:notice] = t 'user.confirm.success'
 213         session[:user] = @user.id
 214         unless referer.nil?
 215           redirect_to referer
 216         else
 217           redirect_to :action => 'account', :display_name => @user.display_name
 218         end
 219       else
 220         flash.now[:error] = t 'user.confirm.failure'
 221       end
 222     end
 223   end
 224
 225   def confirm_email
 226     if params[:confirm_action]
 227       token = UserToken.find_by_token(params[:confirm_string])
 228       if token and token.user.new_email?
 229         @user = token.user
 230         @user.email = @user.new_email
 231         @user.new_email = nil
 232         @user.active = true
 233         @user.email_valid = true
 234         if @user.save
 235           flash[:notice] = t 'user.confirm_email.success'
 236         else
 237           flash[:errors] = @user.errors
 238         end
 239         token.destroy
 240         session[:user] = @user.id
 241         redirect_to :action => 'account', :display_name => @user.display_name
 242       else
 243         flash.now[:error] = t 'user.confirm_email.failure'
 244       end
 245     end
 246   end
 247
 248   def upload_image
 249     @user.image = params[:user][:image]
 250     @user.save!
 251     redirect_to :controller => 'user', :action => 'view', :display_name => @user.display_name
 252   end
 253
 254   def delete_image
 255     @user.image = nil
 256     @user.save!
 257     redirect_to :controller => 'user', :action => 'view', :display_name => @user.display_name
 258   end
 259
 260   def api_gpx_files
 261     doc = OSM::API.new.get_xml_doc
 262     @user.traces.each do |trace|
 263       doc.root << trace.to_xml_node() if trace.public? or trace.user == @user
 264     end
 265     render :text => doc.to_s, :content_type => "text/xml"
 266   end
 267
 268   def view
 269     @this_user = User.find_by_display_name(params[:display_name])
 270
 271     if @this_user and
 272        (@this_user.visible? or (@user and @user.administrator?))
 273       @title = @this_user.display_name
 274     else
 275       @title = t 'user.no_such_user.title'
 276       @not_found_user = params[:display_name]
 277       render :action => 'no_such_user', :status => :not_found
 278     end
 279   end
 280
 281   def make_friend
 282     if params[:display_name]
 283       name = params[:display_name]
 284       new_friend = User.find_by_display_name(name, :conditions => {:visible => true})
 285       friend = Friend.new
 286       friend.user_id = @user.id
 287       friend.friend_user_id = new_friend.id
 288       unless @user.is_friends_with?(new_friend)
 289         if friend.save
 290           flash[:notice] = t 'user.make_friend.success', :name => name
 291           Notifier.deliver_friend_notification(friend)
 292         else
 293           friend.add_error(t('user.make_friend.failed', :name => name))
 294         end
 295       else
 296         flash[:warning] = t 'user.make_friend.already_a_friend', :name => name
 297       end
 298
 299       redirect_to :controller => 'user', :action => 'view'
 300     end
 301   end
 302
 303   def remove_friend
 304     if params[:display_name]
 305       name = params[:display_name]
 306       friend = User.find_by_display_name(name, :conditions => {:visible => true})
 307       if @user.is_friends_with?(friend)
 308         Friend.delete_all "user_id = #{@user.id} AND friend_user_id = #{friend.id}"
 309         flash[:notice] = t 'user.remove_friend.success', :name => friend.display_name
 310       else
 311         flash[:error] = t 'user.remove_friend.not_a_friend', :name => friend.display_name
 312       end
 313
 314       redirect_to :controller => 'user', :action => 'view'
 315     end
 316   end
 317
 318   ##
 319   # activate a user, allowing them to log in
 320   def activate
 321     @this_user.update_attributes(:active => true)
 322     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 323   end
 324
 325   ##
 326   # deactivate a user, preventing them from logging in
 327   def deactivate
 328     @this_user.update_attributes(:active => false)
 329     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 330   end
 331
 332   ##
 333   # hide a user, marking them as logically deleted
 334   def hide
 335     @this_user.update_attributes(:visible => false)
 336     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 337   end
 338
 339   ##
 340   # unhide a user, clearing the logically deleted flag
 341   def unhide
 342     @this_user.update_attributes(:visible => true)
 343     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 344   end
 345
 346   ##
 347   # delete a user, marking them as deleted and removing personal data
 348   def delete
 349     @this_user.delete
 350     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 351   end
 352 private
 353   ##
 354   # require that the user is a administrator, or fill out a helpful error message
 355   # and return them to the user page.
 356   def require_administrator
 357     unless @user.administrator?
 358       flash[:error] = t('user.filter.not_an_administrator')
 359       redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 360     end
 361   end
 362
 363   ##
 364   # ensure that there is a "this_user" instance variable
 365   def lookup_this_user
 366     @this_user = User.find_by_display_name(params[:display_name])
 367   rescue ActiveRecord::RecordNotFound
 368     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name] unless @this_user
 369   end
 370 end