test/integration/oauth_test.rb

   1 require "test_helper"
   2
   3 class OAuthTest < ActionDispatch::IntegrationTest
   4   include OAuth::Helper
   5
   6   def test_oauth10_web_app
   7     client = create(:client_application, :callback_url => "http://some.web.app.example.org/callback", :allow_read_prefs => true, :allow_write_api => true, :allow_read_gpx => true)
   8
   9     post "/login", :params => { :username => client.user.email, :password => "test" }
  10     follow_redirect!
  11     follow_redirect!
  12     assert_response :success
  13
  14     oauth10_without_callback(client)
  15     oauth10_with_callback(client, "http://another.web.app.example.org/callback")
  16     oauth10_refused(client)
  17   end
  18
  19   def test_oauth10_desktop_app
  20     client = create(:client_application, :allow_read_prefs => true, :allow_write_api => true, :allow_read_gpx => true)
  21
  22     post "/login", :params => { :username => client.user.email, :password => "test" }
  23     follow_redirect!
  24     follow_redirect!
  25     assert_response :success
  26
  27     oauth10_without_callback(client)
  28     oauth10_refused(client)
  29   end
  30
  31   def test_oauth10a_web_app
  32     client = create(:client_application, :callback_url => "http://some.web.app.example.org/callback", :allow_read_prefs => true, :allow_write_api => true, :allow_read_gpx => true)
  33
  34     post "/login", :params => { :username => client.user.email, :password => "test" }
  35     follow_redirect!
  36     follow_redirect!
  37     assert_response :success
  38
  39     oauth10a_without_callback(client)
  40     oauth10a_with_callback(client, "http://another.web.app.example.org/callback")
  41     oauth10a_refused(client)
  42   end
  43
  44   def test_oauth10a_desktop_app
  45     client = create(:client_application, :allow_read_prefs => true, :allow_write_api => true, :allow_read_gpx => true)
  46
  47     post "/login", :params => { :username => client.user.email, :password => "test" }
  48     follow_redirect!
  49     follow_redirect!
  50     assert_response :success
  51
  52     oauth10a_without_callback(client)
  53     oauth10a_refused(client)
  54   end
  55
  56   private
  57
  58   def oauth10_without_callback(client)
  59     token = get_request_token(client)
  60
  61     get "/oauth/authorize", :params => { :oauth_token => token.token }
  62     assert_response :success
  63     assert_template :authorize
  64
  65     post "/oauth/authorize",
  66          :params => { :oauth_token => token.token,
  67                       :allow_read_prefs => true, :allow_write_prefs => true }
  68     if client.callback_url
  69       assert_response :redirect
  70       assert_redirected_to "#{client.callback_url}?oauth_token=#{token.token}"
  71     else
  72       assert_response :success
  73       assert_template :authorize_success
  74     end
  75     token.reload
  76     assert_not_nil token.created_at
  77     assert_not_nil token.authorized_at
  78     assert_nil token.invalidated_at
  79     assert_allowed token, [:allow_read_prefs]
  80
  81     signed_get "/oauth/access_token", :consumer => client, :token => token
  82     assert_response :success
  83     token.reload
  84     assert_not_nil token.created_at
  85     assert_not_nil token.authorized_at
  86     assert_not_nil token.invalidated_at
  87     token = parse_token(response)
  88     assert_instance_of AccessToken, token
  89     assert_not_nil token.created_at
  90     assert_not_nil token.authorized_at
  91     assert_nil token.invalidated_at
  92     assert_allowed token, [:allow_read_prefs]
  93
  94     signed_get "/api/0.6/user/preferences", :consumer => client, :token => token
  95     assert_response :success
  96
  97     signed_get "/api/0.6/gpx/2", :consumer => client, :token => token
  98     assert_response :forbidden
  99
 100     post "/oauth/revoke", :params => { :token => token.token }
 101     assert_redirected_to oauth_clients_url(token.user.display_name)
 102     token = OauthToken.find_by(:token => token.token)
 103     assert_not_nil token.invalidated_at
 104
 105     signed_get "/api/0.6/user/preferences", :consumer => client, :token => token
 106     assert_response :unauthorized
 107   end
 108
 109   def oauth10_refused(client)
 110     token = get_request_token(client)
 111
 112     get "/oauth/authorize", :params => { :oauth_token => token.token }
 113     assert_response :success
 114     assert_template :authorize
 115
 116     post "/oauth/authorize", :params => { :oauth_token => token.token }
 117     assert_response :success
 118     assert_template :authorize_failure
 119     assert_select "p", "You have denied application #{client.name} access to your account."
 120     token.reload
 121     assert_nil token.authorized_at
 122     assert_not_nil token.invalidated_at
 123
 124     get "/oauth/authorize", :params => { :oauth_token => token.token }
 125     assert_response :success
 126     assert_template :authorize_failure
 127     assert_select "p", "The authorization token is not valid."
 128     token.reload
 129     assert_nil token.authorized_at
 130     assert_not_nil token.invalidated_at
 131
 132     post "/oauth/authorize", :params => { :oauth_token => token.token }
 133     assert_response :success
 134     assert_template :authorize_failure
 135     assert_select "p", "The authorization token is not valid."
 136     token.reload
 137     assert_nil token.authorized_at
 138     assert_not_nil token.invalidated_at
 139   end
 140
 141   def oauth10_with_callback(client, callback_url)
 142     token = get_request_token(client)
 143
 144     get "/oauth/authorize", :params => { :oauth_token => token.token }
 145     assert_response :success
 146     assert_template :authorize
 147
 148     post "/oauth/authorize",
 149          :params => { :oauth_token => token.token, :oauth_callback => callback_url,
 150                       :allow_write_api => true, :allow_read_gpx => true }
 151     assert_response :redirect
 152     assert_redirected_to "#{callback_url}?oauth_token=#{token.token}"
 153     token.reload
 154     assert_not_nil token.created_at
 155     assert_not_nil token.authorized_at
 156     assert_nil token.invalidated_at
 157     assert_allowed token, [:allow_write_api, :allow_read_gpx]
 158
 159     signed_get "/oauth/access_token", :consumer => client, :token => token
 160     assert_response :success
 161     token.reload
 162     assert_not_nil token.created_at
 163     assert_not_nil token.authorized_at
 164     assert_not_nil token.invalidated_at
 165     token = parse_token(response)
 166     assert_instance_of AccessToken, token
 167     assert_not_nil token.created_at
 168     assert_not_nil token.authorized_at
 169     assert_nil token.invalidated_at
 170     assert_allowed token, [:allow_write_api, :allow_read_gpx]
 171
 172     trace = create(:trace, :user => client.user)
 173     signed_get "/api/0.6/gpx/#{trace.id}", :consumer => client, :token => token
 174     assert_response :success
 175
 176     signed_get "/api/0.6/user/details", :consumer => client, :token => token
 177     assert_response :forbidden
 178
 179     post "/oauth/revoke", :params => { :token => token.token }
 180     assert_redirected_to oauth_clients_url(token.user.display_name)
 181     token = OauthToken.find_by(:token => token.token)
 182     assert_not_nil token.invalidated_at
 183
 184     signed_get "/api/0.6/gpx/2", :consumer => client, :token => token
 185     assert_response :unauthorized
 186   end
 187
 188   def oauth10a_without_callback(client)
 189     token = get_request_token(client, :oauth_callback => "oob")
 190
 191     get "/oauth/authorize", :params => { :oauth_token => token.token }
 192     assert_response :success
 193     assert_template :authorize
 194
 195     post "/oauth/authorize",
 196          :params => { :oauth_token => token.token,
 197                       :allow_read_prefs => true, :allow_write_prefs => true }
 198     if client.callback_url
 199       assert_response :redirect
 200       verifier = parse_verifier(response)
 201       assert_redirected_to "http://some.web.app.example.org/callback?oauth_token=#{token.token}&oauth_verifier=#{verifier}"
 202     else
 203       assert_response :success
 204       assert_template :authorize_success
 205       m = response.body.match("<p>The verification code is ([A-Za-z0-9]+).</p>")
 206       assert_not_nil m
 207       verifier = m[1]
 208     end
 209     token.reload
 210     assert_not_nil token.created_at
 211     assert_not_nil token.authorized_at
 212     assert_nil token.invalidated_at
 213     assert_allowed token, [:allow_read_prefs]
 214
 215     signed_get "/oauth/access_token", :consumer => client, :token => token
 216     assert_response :unauthorized
 217
 218     signed_get "/oauth/access_token",
 219                :consumer => client, :token => token, :oauth_verifier => verifier
 220     assert_response :success
 221     token.reload
 222     assert_not_nil token.created_at
 223     assert_not_nil token.authorized_at
 224     assert_not_nil token.invalidated_at
 225     token = parse_token(response)
 226     assert_instance_of AccessToken, token
 227     assert_not_nil token.created_at
 228     assert_not_nil token.authorized_at
 229     assert_nil token.invalidated_at
 230     assert_allowed token, [:allow_read_prefs]
 231
 232     signed_get "/api/0.6/user/preferences", :consumer => client, :token => token
 233     assert_response :success
 234
 235     trace = create(:trace, :user => client.user)
 236     signed_get "/api/0.6/gpx/#{trace.id}", :consumer => client, :token => token
 237     assert_response :forbidden
 238
 239     post "/oauth/revoke", :params => { :token => token.token }
 240     assert_redirected_to oauth_clients_url(token.user.display_name)
 241     token = OauthToken.find_by(:token => token.token)
 242     assert_not_nil token.invalidated_at
 243
 244     signed_get "/api/0.6/user/preferences", :consumer => client, :token => token
 245     assert_response :unauthorized
 246   end
 247
 248   def oauth10a_with_callback(client, callback_url)
 249     token = get_request_token(client, :oauth_callback => callback_url)
 250
 251     get "/oauth/authorize", :params => { :oauth_token => token.token }
 252     assert_response :success
 253     assert_template :authorize
 254
 255     post "/oauth/authorize",
 256          :params => { :oauth_token => token.token,
 257                       :allow_write_api => true, :allow_read_gpx => true }
 258     assert_response :redirect
 259     verifier = parse_verifier(response)
 260     assert_redirected_to "#{callback_url}?oauth_token=#{token.token}&oauth_verifier=#{verifier}"
 261     token.reload
 262     assert_not_nil token.created_at
 263     assert_not_nil token.authorized_at
 264     assert_nil token.invalidated_at
 265     assert_allowed token, [:allow_write_api, :allow_read_gpx]
 266
 267     signed_get "/oauth/access_token", :consumer => client, :token => token
 268     assert_response :unauthorized
 269
 270     signed_get "/oauth/access_token",
 271                :consumer => client, :token => token, :oauth_verifier => verifier
 272     assert_response :success
 273     token.reload
 274     assert_not_nil token.created_at
 275     assert_not_nil token.authorized_at
 276     assert_not_nil token.invalidated_at
 277     token = parse_token(response)
 278     assert_instance_of AccessToken, token
 279     assert_not_nil token.created_at
 280     assert_not_nil token.authorized_at
 281     assert_nil token.invalidated_at
 282     assert_allowed token, [:allow_write_api, :allow_read_gpx]
 283
 284     trace = create(:trace, :user => client.user)
 285     signed_get "/api/0.6/gpx/#{trace.id}", :consumer => client, :token => token
 286     assert_response :success
 287
 288     signed_get "/api/0.6/user/details", :consumer => client, :token => token
 289     assert_response :forbidden
 290
 291     post "/oauth/revoke", :params => { :token => token.token }
 292     assert_redirected_to oauth_clients_url(token.user.display_name)
 293     token = OauthToken.find_by(:token => token.token)
 294     assert_not_nil token.invalidated_at
 295
 296     signed_get "/api/0.6/gpx/2", :consumer => client, :token => token
 297     assert_response :unauthorized
 298   end
 299
 300   def oauth10a_refused(client)
 301     token = get_request_token(client, :oauth_callback => "oob")
 302
 303     get "/oauth/authorize", :params => { :oauth_token => token.token }
 304     assert_response :success
 305     assert_template :authorize
 306
 307     post "/oauth/authorize", :params => { :oauth_token => token.token }
 308     assert_response :success
 309     assert_template :authorize_failure
 310     assert_select "p", "You have denied application #{client.name} access to your account."
 311     token.reload
 312     assert_nil token.authorized_at
 313     assert_not_nil token.invalidated_at
 314
 315     get "/oauth/authorize", :params => { :oauth_token => token.token }
 316     assert_response :success
 317     assert_template :authorize_failure
 318     assert_select "p", "The authorization token is not valid."
 319     token.reload
 320     assert_nil token.authorized_at
 321     assert_not_nil token.invalidated_at
 322
 323     post "/oauth/authorize", :params => { :oauth_token => token.token }
 324     assert_response :success
 325     assert_template :authorize_failure
 326     assert_select "p", "The authorization token is not valid."
 327     token.reload
 328     assert_nil token.authorized_at
 329     assert_not_nil token.invalidated_at
 330   end
 331
 332   def get_request_token(client, options = {})
 333     signed_get "/oauth/request_token", options.merge(:consumer => client)
 334     assert_response :success
 335     token = parse_token(response)
 336     assert_instance_of RequestToken, token
 337     assert_not_nil token.created_at
 338     assert_nil token.authorized_at
 339     assert_nil token.invalidated_at
 340     assert_equal_allowing_nil options[:oauth_callback], token.callback_url
 341     assert_allowed token, client.permissions
 342
 343     token
 344   end
 345
 346   def signed_get(uri, options)
 347     uri = URI.parse(uri)
 348     uri.scheme ||= "http"
 349     uri.host ||= "www.example.com"
 350
 351     helper = OAuth::Client::Helper.new(nil, options)
 352
 353     request = OAuth::RequestProxy.proxy(
 354       "method" => "GET",
 355       "uri" => uri,
 356       "parameters" => helper.oauth_parameters
 357     )
 358
 359     request.sign!(options)
 360
 361     get request.signed_uri
 362   end
 363
 364   def parse_token(response)
 365     params = CGI.parse(response.body)
 366
 367     token = OauthToken.find_by(:token => params["oauth_token"].first)
 368     assert_equal token.secret, params["oauth_token_secret"].first
 369
 370     token
 371   end
 372
 373   def parse_verifier(response)
 374     params = CGI.parse(URI.parse(response.location).query)
 375
 376     assert_not_nil params["oauth_verifier"]
 377     assert params["oauth_verifier"].first.present?
 378
 379     params["oauth_verifier"].first
 380   end
 381
 382   def assert_allowed(token, allowed)
 383     ClientApplication.all_permissions.each do |p|
 384       assert_equal allowed.include?(p), token.attributes[p.to_s]
 385     end
 386   end
 387 end