app/controllers/api/traces_controller.rb

   1 module Api
   2   class TracesController < ApiController
   3     layout "site", :except => :georss
   4
   5     before_action :authorize_web
   6     before_action :set_locale
   7     before_action :authorize
   8     before_action :api_deny_access_handler
   9
  10     authorize_resource
  11
  12     before_action :check_database_readable, :except => [:api_read, :api_data]
  13     before_action :check_database_writable, :only => [:api_create, :api_update, :api_delete]
  14     before_action :check_api_readable, :only => [:api_read, :api_data]
  15     before_action :check_api_writable, :only => [:api_create, :api_update, :api_delete]
  16     before_action :offline_redirect, :only => [:api_create, :api_delete, :api_data]
  17     around_action :api_call_handle_error
  18
  19     def api_read
  20       trace = Trace.visible.find(params[:id])
  21
  22       if trace.public? || trace.user == current_user
  23         render :xml => trace.to_xml.to_s
  24       else
  25         head :forbidden
  26       end
  27     end
  28
  29     def api_update
  30       trace = Trace.visible.find(params[:id])
  31
  32       if trace.user == current_user
  33         trace.update_from_xml(request.raw_post)
  34         trace.save!
  35
  36         head :ok
  37       else
  38         head :forbidden
  39       end
  40     end
  41
  42     def api_delete
  43       trace = Trace.visible.find(params[:id])
  44
  45       if trace.user == current_user
  46         trace.visible = false
  47         trace.save!
  48
  49         head :ok
  50       else
  51         head :forbidden
  52       end
  53     end
  54
  55     def api_data
  56       trace = Trace.visible.find(params[:id])
  57
  58       if trace.public? || trace.user == current_user
  59         if request.format == Mime[:xml]
  60           send_data(trace.xml_file.read, :filename => "#{trace.id}.xml", :type => request.format.to_s, :disposition => "attachment")
  61         elsif request.format == Mime[:gpx]
  62           send_data(trace.xml_file.read, :filename => "#{trace.id}.gpx", :type => request.format.to_s, :disposition => "attachment")
  63         else
  64           send_file(trace.trace_name, :filename => "#{trace.id}#{trace.extension_name}", :type => trace.mime_type, :disposition => "attachment")
  65         end
  66       else
  67         head :forbidden
  68       end
  69     end
  70
  71     def api_create
  72       tags = params[:tags] || ""
  73       description = params[:description] || ""
  74       visibility = params[:visibility]
  75
  76       if visibility.nil?
  77         visibility = if params[:public]&.to_i&.nonzero?
  78                        "public"
  79                      else
  80                        "private"
  81                      end
  82       end
  83
  84       if params[:file].respond_to?(:read)
  85         trace = do_create(params[:file], tags, description, visibility)
  86
  87         if trace.id
  88           render :plain => trace.id.to_s
  89         elsif trace.valid?
  90           head :internal_server_error
  91         else
  92           head :bad_request
  93         end
  94       else
  95         head :bad_request
  96       end
  97     end
  98
  99     private
 100
 101     def do_create(file, tags, description, visibility)
 102       # Sanitise the user's filename
 103       name = file.original_filename.gsub(/[^a-zA-Z0-9.]/, "_")
 104
 105       # Get a temporary filename...
 106       filename = "/tmp/#{rand}"
 107
 108       # ...and save the uploaded file to that location
 109       File.open(filename, "wb") { |f| f.write(file.read) }
 110
 111       # Create the trace object, falsely marked as already
 112       # inserted to stop the import daemon trying to load it
 113       trace = Trace.new(
 114         :name => name,
 115         :tagstring => tags,
 116         :description => description,
 117         :visibility => visibility,
 118         :inserted => true,
 119         :user => current_user,
 120         :timestamp => Time.now.getutc
 121       )
 122
 123       if trace.valid?
 124         Trace.transaction do
 125           begin
 126             # Save the trace object
 127             trace.save!
 128
 129             # Rename the temporary file to the final name
 130             FileUtils.mv(filename, trace.trace_name)
 131           rescue StandardError
 132             # Remove the file as we have failed to update the database
 133             FileUtils.rm_f(filename)
 134
 135             # Pass the exception on
 136             raise
 137           end
 138
 139           begin
 140             # Clear the inserted flag to make the import daemon load the trace
 141             trace.inserted = false
 142             trace.save!
 143           rescue StandardError
 144             # Remove the file as we have failed to update the database
 145             FileUtils.rm_f(trace.trace_name)
 146
 147             # Pass the exception on
 148             raise
 149           end
 150         end
 151       end
 152
 153       # Finally save the user's preferred privacy level
 154       if pref = current_user.preferences.where(:k => "gps.trace.visibility").first
 155         pref.v = visibility
 156         pref.save
 157       else
 158         current_user.preferences.create(:k => "gps.trace.visibility", :v => visibility)
 159       end
 160
 161       trace
 162     end
 163
 164     def offline_redirect
 165       redirect_to :action => :offline if Settings.status == "gpx_offline"
 166     end
 167   end
 168 end