]> git.openstreetmap.org Git - rails.git/blobdiff - app/abilities/api_ability.rb
projects / rails.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
Merge remote-tracking branch 'upstream/pull/5487'
[rails.git] / app / abilities / api_ability.rb
diff --git a/app/abilities/api_ability.rb b/app/abilities/api_ability.rb
index fe39f5eb5aa2475a4d1c56fa9456e9a8842d117a..3fe180eeb96fd323c63121e9ba34b5a027a32e87 100644 (file)
--- a/app/abilities/api_ability.rb
+++ b/app/abilities/api_ability.rb
@@ -3,57 +3,52 @@
 class ApiAbility
   include CanCan::Ability
 
 class ApiAbility
   include CanCan::Ability
 
-  def initialize(user)
-    can :show, :capability
-    can :index, :change
-    can :index, :map
-    can :show, :permission
-    can :show, :version
+  def initialize(token)
+    can :read, [:version, :capability, :permission, :map]
 
     if Settings.status != "database_offline"
 
     if Settings.status != "database_offline"
-      can [:show, :download, :query], Changeset
-      can [:index, :create, :comment, :feed, :show, :search], Note
-      can :index, Tracepoint
-      can [:index, :show], User
-      can [:index, :show], Node
-      can [:index, :show, :full, :ways_for_node], Way
-      can [:index, :show, :full, :relations_for_node, :relations_for_way, :relations_for_relation], Relation
-      can [:history, :version], OldNode
-      can [:history, :version], OldWay
-      can [:history, :version], OldRelation
-      can [:show], UserBlock
-    end
+      user = User.find(token.resource_owner_id) if token
+
+      can [:read, :feed, :search], Note
+      can :create, Note unless token
+
+      can [:read, :download], Changeset
+      can :read, Tracepoint
+      can :read, User
+      can :read, Node
+      can [:read, :full, :ways_for_node], Way
+      can [:read, :full, :relations_for_node, :relations_for_way, :relations_for_relation], Relation
+      can [:history, :read], [OldNode, OldWay, OldRelation]
+      can :read, UserBlock
+
+      if user&.active?
+        can [:create, :comment, :close, :reopen], Note if scope?(token, :write_notes)
+        can [:create, :destroy], NoteSubscription if scope?(token, :write_notes)
+
+        can :read, Trace if scope?(token, :read_gpx)
+        can [:create, :update, :destroy], Trace if scope?(token, :write_gpx)
+
+        can :details, User if scope?(token, :read_prefs)
+        can :gpx_files, User if scope?(token, :read_gpx)
 
 
-    if user&.active?
-      can :welcome, :site
-      can [:revoke, :authorize], :oauth
+        can :read, UserPreference if scope?(token, :read_prefs)
+        can [:update, :update_all, :destroy], UserPreference if scope?(token, :write_prefs)
 
 
-      if Settings.status != "database_offline"
-        can [:index, :new, :create, :show, :edit, :update, :destroy], ClientApplication
-        can [:new, :create, :reply, :show, :inbox, :outbox, :mark, :destroy], Message
-        can [:close, :reopen], Note
-        can [:new, :create], Report
-        can [:create, :show, :update, :destroy, :data], Trace
-        can [:details, :gpx_files], User
-        can [:index, :show, :update, :update_all, :destroy], UserPreference
+        can [:read, :update, :destroy], Message if scope?(token, :consume_messages)
+        can :create, Message if scope?(token, :send_messages)
 
         if user.terms_agreed?
 
         if user.terms_agreed?
-          can [:create, :update, :upload, :close, :subscribe, :unsubscribe], Changeset
-          can :create, ChangesetComment
-          can [:create, :update, :delete], Node
-          can [:create, :update, :delete], Way
-          can [:create, :update, :delete], Relation
+          can [:create, :update, :upload, :close, :subscribe, :unsubscribe], Changeset if scope?(token, :write_api)
+          can :create, ChangesetComment if scope?(token, :write_api)
+          can [:create, :update, :delete], [Node, Way, Relation] if scope?(token, :write_api)
         end
 
         if user.moderator?
         end
 
         if user.moderator?
-          can [:destroy, :restore], ChangesetComment
-          can :destroy, Note
-
-          if user.terms_agreed?
-            can :redact, OldNode
-            can :redact, OldWay
-            can :redact, OldRelation
-          end
+          can [:destroy, :restore], ChangesetComment if scope?(token, :write_api)
+
+          can :destroy, Note if scope?(token, :write_notes)
+
+          can :redact, [OldNode, OldWay, OldRelation] if user&.terms_agreed? && scope?(token, :write_redactions)
         end
       end
     end
         end
       end
     end
@@ -85,4 +80,10 @@ class ApiAbility
     # See the wiki for details:
     # https://github.com/CanCanCommunity/cancancan/wiki/Defining-Abilities
   end
     # See the wiki for details:
     # https://github.com/CanCanCommunity/cancancan/wiki/Defining-Abilities
   end
+
+  private
+
+  def scope?(token, scope)
+    token&.includes_scope?(scope)
+  end
 end
 end
The OpenStreetMap web site