]> git.openstreetmap.org Git - rails.git/blobdiff - app/abilities/capability.rb
Use CanCanCan to control access to oauth controller actions
[rails.git] / app / abilities / capability.rb
index 8ede9bb51bafedf8c40fa1d86bfd146d8ea79ba9..556d4036cd52714b79e563123460ae0576c993a4 100644 (file)
@@ -4,11 +4,19 @@ class Capability
   include CanCan::Ability
 
   def initialize(token)
-    can :create, ChangesetComment if capability?(token, :allow_write_api)
     can [:create, :comment, :close, :reopen], Note if capability?(token, :allow_write_notes)
+    can [:api_read, :api_data], Trace if capability?(token, :allow_read_gpx)
+    can [:api_create, :api_update, :api_delete], Trace if capability?(token, :allow_write_gpx)
+    can [:api_details], User if capability?(token, :allow_read_prefs)
+    can [:api_gpx_files], User if capability?(token, :allow_read_gpx)
     can [:read, :read_one], UserPreference if capability?(token, :allow_read_prefs)
     can [:update, :update_one, :delete_one], UserPreference if capability?(token, :allow_write_prefs)
 
+    if token&.user&.terms_agreed? || !REQUIRE_TERMS_AGREED
+      can [:create, :update, :upload, :close, :subscribe, :unsubscribe, :expand_bbox], Changeset if capability?(token, :allow_write_api)
+      can :create, ChangesetComment if capability?(token, :allow_write_api)
+    end
+
     if token&.user&.moderator?
       can [:destroy, :restore], ChangesetComment if capability?(token, :allow_write_api)
       can :destroy, Note if capability?(token, :allow_write_notes)