]> git.openstreetmap.org Git - rails.git/blobdiff - app/controllers/user_controller.rb
Support using iD on Internet Explorer 11 and above
[rails.git] / app / controllers / user_controller.rb
index b1d6c86f7a9f0d894fed11a2c9018dd00f5732ab..6390ff19ed914c731a8f12b1394b397696203822 100644 (file)
@@ -1,23 +1,23 @@
 class UserController < ApplicationController
   layout "site", :except => [:api_details]
 
 class UserController < ApplicationController
   layout "site", :except => [:api_details]
 
-  skip_before_filter :verify_authenticity_token, :only => [:api_read, :api_details, :api_gpx_files, :auth_success]
-  before_filter :disable_terms_redirect, :only => [:terms, :save, :logout, :api_details]
-  before_filter :authorize, :only => [:api_details, :api_gpx_files]
-  before_filter :authorize_web, :except => [:api_read, :api_details, :api_gpx_files]
-  before_filter :set_locale, :except => [:api_read, :api_details, :api_gpx_files]
-  before_filter :require_user, :only => [:account, :go_public, :make_friend, :remove_friend]
-  before_filter :require_self, :only => [:account]
-  before_filter :check_database_readable, :except => [:login, :api_read, :api_details, :api_gpx_files]
-  before_filter :check_database_writable, :only => [:new, :account, :confirm, :confirm_email, :lost_password, :reset_password, :go_public, :make_friend, :remove_friend]
-  before_filter :check_api_readable, :only => [:api_read, :api_details, :api_gpx_files]
-  before_filter :require_allow_read_prefs, :only => [:api_details]
-  before_filter :require_allow_read_gpx, :only => [:api_gpx_files]
-  before_filter :require_cookies, :only => [:new, :login, :confirm]
-  before_filter :require_administrator, :only => [:set_status, :delete, :list]
-  around_filter :api_call_handle_error, :only => [:api_read, :api_details, :api_gpx_files]
-  before_filter :lookup_user_by_id, :only => [:api_read]
-  before_filter :lookup_user_by_name, :only => [:set_status, :delete]
+  skip_before_action :verify_authenticity_token, :only => [:api_read, :api_details, :api_gpx_files, :auth_success]
+  before_action :disable_terms_redirect, :only => [:terms, :save, :logout, :api_details]
+  before_action :authorize, :only => [:api_details, :api_gpx_files]
+  before_action :authorize_web, :except => [:api_read, :api_details, :api_gpx_files]
+  before_action :set_locale, :except => [:api_read, :api_details, :api_gpx_files]
+  before_action :require_user, :only => [:account, :go_public, :make_friend, :remove_friend]
+  before_action :require_self, :only => [:account]
+  before_action :check_database_readable, :except => [:login, :api_read, :api_details, :api_gpx_files]
+  before_action :check_database_writable, :only => [:new, :account, :confirm, :confirm_email, :lost_password, :reset_password, :go_public, :make_friend, :remove_friend]
+  before_action :check_api_readable, :only => [:api_read, :api_details, :api_gpx_files]
+  before_action :require_allow_read_prefs, :only => [:api_details]
+  before_action :require_allow_read_gpx, :only => [:api_gpx_files]
+  before_action :require_cookies, :only => [:new, :login, :confirm]
+  before_action :require_administrator, :only => [:set_status, :delete, :list]
+  around_action :api_call_handle_error, :only => [:api_read, :api_details, :api_gpx_files]
+  before_action :lookup_user_by_id, :only => [:api_read]
+  before_action :lookup_user_by_name, :only => [:set_status, :delete]
 
   def terms
     @legale = params[:legale] || OSM.ip_to_country(request.remote_ip) || DEFAULT_LEGALE
 
   def terms
     @legale = params[:legale] || OSM.ip_to_country(request.remote_ip) || DEFAULT_LEGALE
@@ -45,7 +45,7 @@ class UserController < ApplicationController
         @user.terms_seen = true
 
         if @user.save
         @user.terms_seen = true
 
         if @user.save
-          flash[:notice] = t "user.new.terms declined", :url => t("user.new.terms declined url")
+          flash[:notice] = t("user.new.terms declined", :url => t("user.new.terms declined url")).html_safe
         end
 
         if params[:referer]
         end
 
         if params[:referer]
@@ -80,7 +80,11 @@ class UserController < ApplicationController
         @user.languages = http_accept_language.user_preferred_languages
         @user.terms_agreed = Time.now.getutc
         @user.terms_seen = true
         @user.languages = http_accept_language.user_preferred_languages
         @user.terms_agreed = Time.now.getutc
         @user.terms_seen = true
-        @user.openid_url = nil if @user.openid_url && @user.openid_url.empty?
+
+        if @user.auth_uid.nil? || @user.auth_uid.empty?
+          @user.auth_provider = nil
+          @user.auth_uid = nil
+        end
 
         if @user.save
           flash[:piwik_goal] = PIWIK["goals"]["signup"] if defined?(PIWIK)
 
         if @user.save
           flash[:piwik_goal] = PIWIK["goals"]["signup"] if defined?(PIWIK)
@@ -119,17 +123,13 @@ class UserController < ApplicationController
     @tokens = @user.oauth_tokens.authorized
 
     if params[:user] && params[:user][:display_name] && params[:user][:description]
     @tokens = @user.oauth_tokens.authorized
 
     if params[:user] && params[:user][:display_name] && params[:user][:description]
-      if params[:user][:openid_url] &&
-         params[:user][:openid_url].length > 0 &&
-         params[:user][:openid_url] != @user.openid_url
-        # If the OpenID has changed, we want to check that it is a
-        # valid OpenID and one the user has control over before saving
-        # it as a password equivalent for the user.
-        session[:new_user_settings] = params
-        openid_url = openid_expand_url(params[:user][:openid_url])
-        redirect_to auth_path(:provider => "openid", :openid_url => openid_url, :origin => request.path)
-      else
+      if params[:user][:auth_provider].blank? ||
+         (params[:user][:auth_provider] == @user.auth_provider &&
+          params[:user][:auth_uid] == @user.auth_uid)
         update_user(@user, params)
         update_user(@user, params)
+      else
+        session[:new_user_settings] = params
+        redirect_to auth_url(params[:user][:auth_provider], params[:user][:auth_uid])
       end
     end
   end
       end
     end
   end
@@ -206,13 +206,14 @@ class UserController < ApplicationController
       else
         redirect_to :controller => "site", :action => "index"
       end
       else
         redirect_to :controller => "site", :action => "index"
       end
-    elsif params.key?(:openid)
+    elsif params.key?(:auth_provider) && params.key?(:auth_uid)
       @user = User.new(:email => params[:email],
                        :email_confirmation => params[:email],
                        :display_name => params[:nickname],
       @user = User.new(:email => params[:email],
                        :email_confirmation => params[:email],
                        :display_name => params[:nickname],
-                       :openid_url => params[:openid])
+                       :auth_provider => params[:auth_provider],
+                       :auth_uid => params[:auth_uid])
 
 
-      flash.now[:notice] = t "user.new.openid association"
+      flash.now[:notice] = render_to_string :partial => "auth_association"
     else
       check_signup_allowed
     end
     else
       check_signup_allowed
     end
@@ -226,9 +227,9 @@ class UserController < ApplicationController
 
       @user.status = "pending"
 
 
       @user.status = "pending"
 
-      if @user.openid_url.present? && @user.pass_crypt.empty?
-        # We are creating an account with OpenID and no password
-        # was specified so create a random one
+      if @user.auth_provider.present? && @user.pass_crypt.empty?
+        # We are creating an account with external authentication and
+        # no password was specified so create a random one
         @user.pass_crypt = SecureRandom.base64(16)
         @user.pass_crypt_confirmation = @user.pass_crypt
       end
         @user.pass_crypt = SecureRandom.base64(16)
         @user.pass_crypt_confirmation = @user.pass_crypt
       end
@@ -236,11 +237,10 @@ class UserController < ApplicationController
       if @user.invalid?
         # Something is wrong with a new user, so rerender the form
         render :action => "new"
       if @user.invalid?
         # Something is wrong with a new user, so rerender the form
         render :action => "new"
-      elsif @user.openid_url.present?
-        # Verify OpenID before moving on
+      elsif @user.auth_provider.present?
+        # Verify external authenticator before moving on
         session[:new_user] = @user
         session[:new_user] = @user
-        openid_url = openid_expand_url(@user.openid_url)
-        redirect_to auth_path(:provider => "openid", :openid_url => openid_url, :origin => request.path)
+        redirect_to auth_url(@user.auth_provider, @user.auth_uid)
       else
         # Save the user record
         session[:new_user] = @user
       else
         # Save the user record
         session[:new_user] = @user
@@ -250,17 +250,14 @@ class UserController < ApplicationController
   end
 
   def login
   end
 
   def login
-    if params[:username] || params[:openid_url]
-      session[:referer] ||= params[:referer]
-
-      if params[:openid_url].present?
-        session[:remember_me] ||= params[:remember_me_openid]
-        openid_url = openid_expand_url(params[:openid_url])
-        redirect_to auth_path(:provider => "openid", :openid_url => openid_url, :origin => request.path)
-      else
-        session[:remember_me] ||= params[:remember_me]
-        password_authentication(params[:username], params[:password])
-      end
+    session[:referer] = params[:referer] if params[:referer]
+
+    if params[:username].present? && params[:password].present?
+      session[:remember_me] ||= params[:remember_me]
+      password_authentication(params[:username], params[:password])
+    elsif params[:openid_url].present?
+      session[:remember_me] ||= params[:remember_me_openid]
+      redirect_to auth_url("openid", params[:openid_url])
     end
   end
 
     end
   end
 
@@ -321,16 +318,19 @@ class UserController < ApplicationController
     else
       user = User.find_by_display_name(params[:display_name])
 
     else
       user = User.find_by_display_name(params[:display_name])
 
-      redirect_to root_path if !user || user.active?
+      redirect_to root_path if user.nil? || user.active?
     end
   end
 
   def confirm_resend
     end
   end
 
   def confirm_resend
-    if user = User.find_by_display_name(params[:display_name])
-      Notifier.signup_confirm(user, user.tokens.create).deliver_now
-      flash[:notice] = t "user.confirm_resend.success", :email => user.email
+    user = User.find_by_display_name(params[:display_name])
+    token = UserToken.find_by_token(session[:token])
+
+    if user.nil? || token.nil? || token.user != user
+      flash[:error] = t "user.confirm_resend.failure", :name => params[:display_name]
     else
     else
-      flash[:notice] = t "user.confirm_resend.failure", :name => params[:display_name]
+      Notifier.signup_confirm(user, user.tokens.create).deliver_now
+      flash[:notice] = t("user.confirm_resend.success", :email => user.email).html_safe
     end
 
     redirect_to :action => "login"
     end
 
     redirect_to :action => "login"
@@ -352,26 +352,32 @@ class UserController < ApplicationController
         token.destroy
         session[:user] = @user.id
         redirect_to :action => "account", :display_name => @user.display_name
         token.destroy
         session[:user] = @user.id
         redirect_to :action => "account", :display_name => @user.display_name
-      else
+      elsif token
         flash[:error] = t "user.confirm_email.failure"
         flash[:error] = t "user.confirm_email.failure"
-        redirect_to :action => "account", :display_name => @user.display_name
+        redirect_to :action => "account", :display_name => token.user.display_name
+      else
+        flash[:error] = t "user.confirm_email.unknown_token"
       end
     end
   end
 
   def api_read
       end
     end
   end
 
   def api_read
-    render :text => "", :status => :gone unless @this_user.visible?
+    if @this_user.visible?
+      render :action => :api_read, :content_type => "text/xml"
+    else
+      render :text => "", :status => :gone
+    end
   end
 
   def api_details
     @this_user = @user
   end
 
   def api_details
     @this_user = @user
-    render :action => :api_read
+    render :action => :api_read, :content_type => "text/xml"
   end
 
   def api_gpx_files
     doc = OSM::API.new.get_xml_doc
   end
 
   def api_gpx_files
     doc = OSM::API.new.get_xml_doc
-    @user.traces.each do |trace|
-      doc.root << trace.to_xml_node if trace.public? || trace.user == @user
+    @user.traces.reload.each do |trace|
+      doc.root << trace.to_xml_node
     end
     render :text => doc.to_s, :content_type => "text/xml"
   end
     end
     render :text => doc.to_s, :content_type => "text/xml"
   end
@@ -461,8 +467,8 @@ class UserController < ApplicationController
     if request.post?
       ids = params[:user].keys.collect(&:to_i)
 
     if request.post?
       ids = params[:user].keys.collect(&:to_i)
 
-      User.update_all("status = 'confirmed'", :id => ids) if params[:confirm]
-      User.update_all("status = 'deleted'", :id => ids) if params[:hide]
+      User.where(:id => ids).update_all(:status => "confirmed") if params[:confirm]
+      User.where(:id => ids).update_all(:status => "deleted") if params[:hide]
 
       redirect_to url_for(:status => params[:status], :ip => params[:ip], :page => params[:page])
     else
 
       redirect_to url_for(:status => params[:status], :ip => params[:ip], :page => params[:page])
     else
@@ -482,11 +488,30 @@ class UserController < ApplicationController
   def auth_success
     auth_info = env["omniauth.auth"]
 
   def auth_success
     auth_info = env["omniauth.auth"]
 
-    openid_url = auth_info[:uid]
+    provider = auth_info[:provider]
+    uid = auth_info[:uid]
     name = auth_info[:info][:name]
     email = auth_info[:info][:email]
 
     name = auth_info[:info][:name]
     email = auth_info[:info][:email]
 
-    if user = User.find_by_openid_url(openid_url)
+    case provider
+    when "openid"
+      email_verified = uid.match(%r{https://www.google.com/accounts/o8/id?(.*)}) ||
+                       uid.match(%r{https://me.yahoo.com/(.*)})
+    when "google", "facebook"
+      email_verified = true
+    else
+      email_verified = false
+    end
+
+    user = User.find_by_auth_provider_and_auth_uid(provider, uid)
+
+    if user.nil? && provider == "google"
+      openid_url = auth_info[:extra][:id_info]["openid_id"]
+      user = User.find_by_auth_provider_and_auth_uid("openid", openid_url) if openid_url
+      user.update(:auth_provider => provider, :auth_uid => uid) if user
+    end
+
+    if user
       case user.status
       when "pending" then
         unconfirmed_login(user)
       case user.status
       when "pending" then
         unconfirmed_login(user)
@@ -498,21 +523,24 @@ class UserController < ApplicationController
         failed_login t("user.login.auth failure")
       end
     elsif settings = session.delete(:new_user_settings)
         failed_login t("user.login.auth failure")
       end
     elsif settings = session.delete(:new_user_settings)
-      @user.openid_url = openid_url
+      @user.auth_provider = provider
+      @user.auth_uid = uid
 
       update_user(@user, settings)
 
       redirect_to :action => "account", :display_name => @user.display_name
     elsif session[:new_user]
 
       update_user(@user, settings)
 
       redirect_to :action => "account", :display_name => @user.display_name
     elsif session[:new_user]
-      session[:new_user].openid_url = openid_url
+      session[:new_user].auth_provider = provider
+      session[:new_user].auth_uid = uid
 
 
-      if email == session[:new_user].email && openid_email_verified(email)
+      if email_verified && email == session[:new_user].email
         session[:new_user].status = "active"
       end
 
       redirect_to :action => "terms"
     else
         session[:new_user].status = "active"
       end
 
       redirect_to :action => "terms"
     else
-      redirect_to :action => "new", :nickname => name, :email => email, :openid => openid_url
+      redirect_to :action => "new", :nickname => name, :email => email,
+                  :auth_provider => provider, :auth_uid => uid
     end
   end
 
     end
   end
 
@@ -520,7 +548,7 @@ class UserController < ApplicationController
   # omniauth failure callback
   def auth_failure
     flash[:error] = t("user.auth_failure." + params[:message])
   # omniauth failure callback
   def auth_failure
     flash[:error] = t("user.auth_failure." + params[:message])
-    redirect_to params[:origin]
+    redirect_to params[:origin] || login_url
   end
 
   private
   end
 
   private
@@ -539,13 +567,23 @@ class UserController < ApplicationController
     end
   end
 
     end
   end
 
+  ##
+  # return the URL to use for authentication
+  def auth_url(provider, uid)
+    if provider == "openid"
+      auth_path(:provider => "openid", :openid_url => openid_expand_url(uid), :origin => request.path)
+    else
+      auth_path(:provider => provider, :origin => request.path)
+    end
+  end
+
   ##
   # special case some common OpenID providers by applying heuristics to
   # try and come up with the correct URL based on what the user entered
   def openid_expand_url(openid_url)
     if openid_url.nil?
       return nil
   ##
   # special case some common OpenID providers by applying heuristics to
   # try and come up with the correct URL based on what the user entered
   def openid_expand_url(openid_url)
     if openid_url.nil?
       return nil
-    elsif openid_url.match(/(.*)gmail.com(\/?)$/) || openid_url.match(/(.*)googlemail.com(\/?)$/)
+    elsif openid_url.match(%r{(.*)gmail.com(/?)$}) || openid_url.match(%r{(.*)googlemail.com(/?)$})
       # Special case gmail.com as it is potentially a popular OpenID
       # provider and, unlike yahoo.com, where it works automatically, Google
       # have hidden their OpenID endpoint somewhere obscure this making it
       # Special case gmail.com as it is potentially a popular OpenID
       # provider and, unlike yahoo.com, where it works automatically, Google
       # have hidden their OpenID endpoint somewhere obscure this making it
@@ -556,14 +594,6 @@ class UserController < ApplicationController
     end
   end
 
     end
   end
 
-  ##
-  # check if we trust an OpenID provider to return a verified
-  # email, so that we can skpi verifying it ourselves
-  def openid_email_verified(openid_url)
-    openid_url.match(%r{https://www.google.com/accounts/o8/id?(.*)}) ||
-      openid_url.match(%r{https://me.yahoo.com/(.*)})
-  end
-
   ##
   # process a successful login
   def successful_login(user)
   ##
   # process a successful login
   def successful_login(user)
@@ -595,7 +625,7 @@ class UserController < ApplicationController
   def failed_login(message)
     flash[:error] = message
 
   def failed_login(message)
     flash[:error] = message
 
-    redirect_to :action => "login", :referer =>  session[:referer]
+    redirect_to :action => "login", :referer => session[:referer]
 
     session.delete(:remember_me)
     session.delete(:referer)
 
     session.delete(:remember_me)
     session.delete(:referer)
@@ -604,6 +634,8 @@ class UserController < ApplicationController
   ##
   #
   def unconfirmed_login(user)
   ##
   #
   def unconfirmed_login(user)
+    session[:token] = user.tokens.create.token
+
     redirect_to :action => "confirm", :display_name => user.display_name
 
     session.delete(:remember_me)
     redirect_to :action => "confirm", :display_name => user.display_name
 
     session.delete(:remember_me)
@@ -649,7 +681,10 @@ class UserController < ApplicationController
       user.preferred_editor = params[:user][:preferred_editor]
     end
 
       user.preferred_editor = params[:user][:preferred_editor]
     end
 
-    user.openid_url = nil if params[:user][:openid_url].blank?
+    if params[:user][:auth_provider].nil? || params[:user][:auth_provider].blank?
+      user.auth_provider = nil
+      user.auth_uid = nil
+    end
 
     if user.save
       set_locale
 
     if user.save
       set_locale
@@ -728,7 +763,9 @@ class UserController < ApplicationController
   ##
   # return permitted user parameters
   def user_params
   ##
   # return permitted user parameters
   def user_params
-    params.require(:user).permit(:email, :email_confirmation, :display_name, :openid_url, :pass_crypt, :pass_crypt_confirmation)
+    params.require(:user).permit(:email, :email_confirmation, :display_name,
+                                 :auth_provider, :auth_uid,
+                                 :pass_crypt, :pass_crypt_confirmation)
   end
 
   ##
   end
 
   ##