]> git.openstreetmap.org Git - rails.git/blobdiff - app/abilities/api_capability.rb
Use resourceful routes for granting/revoking user roles
[rails.git] / app / abilities / api_capability.rb
index 04d7fe10ab0953928a89c455b87761ae2c0ed173..d8be136438efded684104cbf9dfd0728b27221c8 100644 (file)
@@ -5,35 +5,29 @@ class ApiCapability
 
   def initialize(token)
     if Settings.status != "database_offline"
 
   def initialize(token)
     if Settings.status != "database_offline"
-      user = if token.respond_to?(:resource_owner_id)
-               User.find(token.resource_owner_id)
-             elsif token.respond_to?(:user)
-               token.user
-             end
+      user = User.find(token.resource_owner_id)
 
 
-      can [:create, :comment, :close, :reopen], Note if scope?(token, :write_notes)
-      can [:show, :data], Trace if scope?(token, :read_gpx)
-      can [:create, :update, :destroy], Trace if scope?(token, :write_gpx)
-      can [:details], User if scope?(token, :read_prefs)
-      can [:gpx_files], User if scope?(token, :read_gpx)
-      can [:index, :show], UserPreference if scope?(token, :read_prefs)
-      can [:update, :update_all, :destroy], UserPreference if scope?(token, :write_prefs)
+      if user&.active?
+        can [:create, :comment, :close, :reopen], Note if scope?(token, :write_notes)
+        can [:show, :data], Trace if scope?(token, :read_gpx)
+        can [:create, :update, :destroy], Trace if scope?(token, :write_gpx)
+        can [:details], User if scope?(token, :read_prefs)
+        can [:gpx_files], User if scope?(token, :read_gpx)
+        can [:index, :show], UserPreference if scope?(token, :read_prefs)
+        can [:update, :update_all, :destroy], UserPreference if scope?(token, :write_prefs)
+        can [:inbox, :outbox, :show, :update, :destroy], Message if scope?(token, :consume_messages)
+        can [:create], Message if scope?(token, :send_messages)
 
 
-      if user&.terms_agreed?
-        can [:create, :update, :upload, :close, :subscribe, :unsubscribe], Changeset if scope?(token, :write_api)
-        can :create, ChangesetComment if scope?(token, :write_api)
-        can [:create, :update, :delete], Node if scope?(token, :write_api)
-        can [:create, :update, :delete], Way if scope?(token, :write_api)
-        can [:create, :update, :delete], Relation if scope?(token, :write_api)
-      end
+        if user.terms_agreed?
+          can [:create, :update, :upload, :close, :subscribe, :unsubscribe], Changeset if scope?(token, :write_api)
+          can :create, ChangesetComment if scope?(token, :write_api)
+          can [:create, :update, :delete], [Node, Way, Relation] if scope?(token, :write_api)
+        end
 
 
-      if user&.moderator?
-        can [:destroy, :restore], ChangesetComment if scope?(token, :write_api)
-        can :destroy, Note if scope?(token, :write_notes)
-        if user&.terms_agreed?
-          can :redact, OldNode if scope?(token, :write_api)
-          can :redact, OldWay if scope?(token, :write_api)
-          can :redact, OldRelation if scope?(token, :write_api)
+        if user.moderator?
+          can [:destroy, :restore], ChangesetComment if scope?(token, :write_api)
+          can :destroy, Note if scope?(token, :write_notes)
+          can :redact, [OldNode, OldWay, OldRelation] if user&.terms_agreed? && scope?(token, :write_redactions)
         end
       end
     end
         end
       end
     end