app/controllers/user_controller.rb

   1 class UserController < ApplicationController
   2   layout 'site', :except => :api_details
   3
   4   before_filter :authorize, :only => [:api_details, :api_gpx_files]
   5   before_filter :authorize_web, :except => [:api_details, :api_gpx_files]
   6   before_filter :set_locale, :except => [:api_details, :api_gpx_files]
   7   before_filter :require_user, :only => [:account, :go_public, :make_friend, :remove_friend]
   8   before_filter :check_database_readable, :except => [:api_details, :api_gpx_files]
   9   before_filter :check_database_writable, :only => [:login, :new, :account, :go_public, :make_friend, :remove_friend]
  10   before_filter :check_api_readable, :only => [:api_details, :api_gpx_files]
  11   before_filter :require_allow_read_prefs, :only => [:api_details]
  12   before_filter :require_allow_read_gpx, :only => [:api_gpx_files]
  13   before_filter :require_cookies, :only => [:login, :confirm]
  14   before_filter :require_administrator, :only => [:activate, :deactivate, :hide, :unhide, :delete]
  15   before_filter :lookup_this_user, :only => [:activate, :deactivate, :hide, :unhide, :delete]
  16
  17   filter_parameter_logging :password, :pass_crypt, :pass_crypt_confirmation
  18
  19   cache_sweeper :user_sweeper, :only => [:account, :hide, :unhide, :delete]
  20
  21   def terms
  22     @title = t 'user.new.title'
  23     @user = User.new(params[:user])
  24
  25     if @user.invalid?
  26       render :action => 'new'
  27     end
  28   end
  29
  30   def save
  31     @title = t 'user.new.title'
  32
  33     if Acl.find_by_address(request.remote_ip, :conditions => {:k => "no_account_creation"})
  34       render :action => 'new'
  35     else
  36       @user = User.new(params[:user])
  37
  38       @user.visible = true
  39       @user.data_public = true
  40       @user.description = "" if @user.description.nil?
  41       @user.creation_ip = request.remote_ip
  42       @user.languages = request.user_preferred_languages
  43       @user.terms_agreed = Time.now.getutc
  44
  45       if @user.save
  46         flash[:notice] = t 'user.new.flash create success message'
  47         Notifier.deliver_signup_confirm(@user, @user.tokens.create(:referer => params[:referer]))
  48         redirect_to :action => 'login'
  49       else
  50         render :action => 'new'
  51       end
  52     end
  53   end
  54
  55   def account
  56     @title = t 'user.account.title'
  57     @tokens = @user.oauth_tokens.find :all, :conditions => 'oauth_tokens.invalidated_at is null and oauth_tokens.authorized_at is not null'
  58
  59     if params[:user] and params[:user][:display_name] and params[:user][:description]
  60       @user.display_name = params[:user][:display_name]
  61       @user.new_email = params[:user][:new_email]
  62
  63       if params[:user][:pass_crypt].length > 0 or params[:user][:pass_crypt_confirmation].length > 0
  64         @user.pass_crypt = params[:user][:pass_crypt]
  65         @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
  66       end
  67
  68       @user.description = params[:user][:description]
  69       @user.languages = params[:user][:languages].split(",")
  70
  71       case params[:image_action]
  72         when "new" then @user.image = params[:user][:image]
  73         when "delete" then @user.image = nil
  74       end
  75
  76       @user.home_lat = params[:user][:home_lat]
  77       @user.home_lon = params[:user][:home_lon]
  78
  79       if @user.save
  80         set_locale
  81
  82         if @user.new_email.nil? or @user.new_email.empty?
  83           flash.now[:notice] = t 'user.account.flash update success'
  84         else
  85           flash.now[:notice] = t 'user.account.flash update success confirm needed'
  86
  87           begin
  88             Notifier.deliver_email_confirm(@user, @user.tokens.create)
  89           rescue
  90             # Ignore errors sending email
  91           end
  92         end
  93       end
  94     else
  95       if flash[:errors]
  96         flash[:errors].each do |attr,msg|
  97           attr = "new_email" if attr == "email"
  98           @user.errors.add(attr,msg)
  99         end
 100       end
 101     end
 102   end
 103
 104   def go_public
 105     @user.data_public = true
 106     @user.save
 107     flash[:notice] = t 'user.go_public.flash success'
 108     redirect_to :controller => 'user', :action => 'account', :display_name => @user.display_name
 109   end
 110
 111   def lost_password
 112     @title = t 'user.lost_password.title'
 113
 114     if params[:user] and params[:user][:email]
 115       user = User.find_by_email(params[:user][:email], :conditions => {:visible => true})
 116
 117       if user
 118         token = user.tokens.create
 119         Notifier.deliver_lost_password(user, token)
 120         flash[:notice] = t 'user.lost_password.notice email on way'
 121         redirect_to :action => 'login'
 122       else
 123         flash.now[:error] = t 'user.lost_password.notice email cannot find'
 124       end
 125     end
 126   end
 127
 128   def reset_password
 129     @title = t 'user.reset_password.title'
 130
 131     if params[:token]
 132       token = UserToken.find_by_token(params[:token])
 133
 134       if token
 135         @user = token.user
 136
 137         if params[:user]
 138           @user.pass_crypt = params[:user][:pass_crypt]
 139           @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
 140           @user.active = true
 141           @user.email_valid = true
 142
 143           if @user.save
 144             token.destroy
 145             flash[:notice] = t 'user.reset_password.flash changed'
 146             redirect_to :action => 'login'
 147           end
 148         end
 149       else
 150         flash[:error] = t 'user.reset_password.flash token bad'
 151         redirect_to :action => 'lost_password'
 152       end
 153     end
 154   end
 155
 156   def new
 157     @title = t 'user.new.title'
 158
 159     # The user is logged in already, so don't show them the signup
 160     # page, instead send them to the home page
 161     redirect_to :controller => 'site', :action => 'index' if session[:user]
 162   end
 163
 164   def login
 165     @title = t 'user.login.title'
 166
 167     if params[:user]
 168       email_or_display_name = params[:user][:email]
 169       pass = params[:user][:password]
 170       user = User.authenticate(:username => email_or_display_name, :password => pass)
 171
 172       if user
 173         session[:user] = user.id
 174         session_expires_after 1.month if params[:remember_me]
 175
 176         # The user is logged in, if the referer param exists, redirect
 177         # them to that unless they've also got a block on them, in
 178         # which case redirect them to the block so they can clear it.
 179         if user.blocked_on_view
 180           redirect_to user.blocked_on_view, :referrer => params[:referrer]
 181         elsif params[:referer]
 182           redirect_to params[:referer]
 183         else
 184           redirect_to :controller => 'site', :action => 'index'
 185         end
 186        elsif User.authenticate(:username => email_or_display_name, :password => pass, :inactive => true)
 187         flash.now[:error] = t 'user.login.account not active'
 188       else
 189         flash.now[:error] = t 'user.login.auth failure'
 190       end
 191     end
 192   end
 193
 194   def logout
 195     @title = t 'user.logout.title'
 196
 197     if params[:session] == request.session_options[:id]
 198       if session[:token]
 199         token = UserToken.find_by_token(session[:token])
 200         if token
 201           token.destroy
 202         end
 203         session[:token] = nil
 204       end
 205       session[:user] = nil
 206       session_expires_automatically
 207       if params[:referer]
 208         redirect_to params[:referer]
 209       else
 210         redirect_to :controller => 'site', :action => 'index'
 211       end
 212     end
 213   end
 214
 215   def confirm
 216     if params[:confirm_action]
 217       token = UserToken.find_by_token(params[:confirm_string])
 218       if token and !token.user.active?
 219         @user = token.user
 220         @user.active = true
 221         @user.email_valid = true
 222         @user.save!
 223         referer = token.referer
 224         token.destroy
 225         flash[:notice] = t 'user.confirm.success'
 226         session[:user] = @user.id
 227         unless referer.nil?
 228           redirect_to referer
 229         else
 230           redirect_to :action => 'account', :display_name => @user.display_name
 231         end
 232       else
 233         flash.now[:error] = t 'user.confirm.failure'
 234       end
 235     end
 236   end
 237
 238   def confirm_email
 239     if params[:confirm_action]
 240       token = UserToken.find_by_token(params[:confirm_string])
 241       if token and token.user.new_email?
 242         @user = token.user
 243         @user.email = @user.new_email
 244         @user.new_email = nil
 245         @user.active = true
 246         @user.email_valid = true
 247         if @user.save
 248           flash[:notice] = t 'user.confirm_email.success'
 249         else
 250           flash[:errors] = @user.errors
 251         end
 252         token.destroy
 253         session[:user] = @user.id
 254         redirect_to :action => 'account', :display_name => @user.display_name
 255       else
 256         flash.now[:error] = t 'user.confirm_email.failure'
 257       end
 258     end
 259   end
 260
 261   def api_gpx_files
 262     doc = OSM::API.new.get_xml_doc
 263     @user.traces.each do |trace|
 264       doc.root << trace.to_xml_node() if trace.public? or trace.user == @user
 265     end
 266     render :text => doc.to_s, :content_type => "text/xml"
 267   end
 268
 269   def view
 270     @this_user = User.find_by_display_name(params[:display_name])
 271
 272     if @this_user and
 273        (@this_user.visible? or (@user and @user.administrator?))
 274       @title = @this_user.display_name
 275     else
 276       @title = t 'user.no_such_user.title'
 277       @not_found_user = params[:display_name]
 278       render :action => 'no_such_user', :status => :not_found
 279     end
 280   end
 281
 282   def make_friend
 283     if params[:display_name]
 284       name = params[:display_name]
 285       new_friend = User.find_by_display_name(name, :conditions => {:visible => true})
 286       friend = Friend.new
 287       friend.user_id = @user.id
 288       friend.friend_user_id = new_friend.id
 289       unless @user.is_friends_with?(new_friend)
 290         if friend.save
 291           flash[:notice] = t 'user.make_friend.success', :name => name
 292           Notifier.deliver_friend_notification(friend)
 293         else
 294           friend.add_error(t('user.make_friend.failed', :name => name))
 295         end
 296       else
 297         flash[:warning] = t 'user.make_friend.already_a_friend', :name => name
 298       end
 299
 300       if params[:referer]
 301         redirect_to params[:referer]
 302       else
 303         redirect_to :controller => 'user', :action => 'view'
 304       end
 305     end
 306   end
 307
 308   def remove_friend
 309     if params[:display_name]
 310       name = params[:display_name]
 311       friend = User.find_by_display_name(name, :conditions => {:visible => true})
 312       if @user.is_friends_with?(friend)
 313         Friend.delete_all "user_id = #{@user.id} AND friend_user_id = #{friend.id}"
 314         flash[:notice] = t 'user.remove_friend.success', :name => friend.display_name
 315       else
 316         flash[:error] = t 'user.remove_friend.not_a_friend', :name => friend.display_name
 317       end
 318
 319       if params[:referer]
 320         redirect_to params[:referer]
 321       else
 322         redirect_to :controller => 'user', :action => 'view'
 323       end
 324     end
 325   end
 326
 327   ##
 328   # activate a user, allowing them to log in
 329   def activate
 330     @this_user.update_attributes(:active => true)
 331     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 332   end
 333
 334   ##
 335   # deactivate a user, preventing them from logging in
 336   def deactivate
 337     @this_user.update_attributes(:active => false)
 338     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 339   end
 340
 341   ##
 342   # hide a user, marking them as logically deleted
 343   def hide
 344     @this_user.update_attributes(:visible => false)
 345     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 346   end
 347
 348   ##
 349   # unhide a user, clearing the logically deleted flag
 350   def unhide
 351     @this_user.update_attributes(:visible => true)
 352     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 353   end
 354
 355   ##
 356   # delete a user, marking them as deleted and removing personal data
 357   def delete
 358     @this_user.delete
 359     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 360   end
 361 private
 362   ##
 363   # require that the user is a administrator, or fill out a helpful error message
 364   # and return them to the user page.
 365   def require_administrator
 366     unless @user.administrator?
 367       flash[:error] = t('user.filter.not_an_administrator')
 368       redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 369     end
 370   end
 371
 372   ##
 373   # ensure that there is a "this_user" instance variable
 374   def lookup_this_user
 375     @this_user = User.find_by_display_name(params[:display_name])
 376   rescue ActiveRecord::RecordNotFound
 377     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name] unless @this_user
 378   end
 379 end