]> git.openstreetmap.org Git - rails.git/blobdiff - app/controllers/node_controller.rb
Disable forgery protection for notes API methods
[rails.git] / app / controllers / node_controller.rb
index bd81c9aa2cc0e9ee0f6f5cf75fdb5e56304feb4b..9f6703b07688dbeb716fffb35cd47b34abb56760 100644 (file)
+# The NodeController is the RESTful interface to Node objects
+
 class NodeController < ApplicationController
 class NodeController < ApplicationController
-  require 'xml/libxml'
-
-  before_filter :authorize
-  after_filter :compress_output
-
-  def create\r
-    response.headers["Content-Type"] = 'application/xml'
-    if request.put?
-      node = nil
-      begin
-        node = Node.from_xml(request.raw_post, true)
-      rescue
-        render :text => "XML didn't parse", :status => 400 # if we got here the doc didnt parse
-        return
-      end
-
-      if node
-        node.user_id = @user.id
-        node.visible = 1
-        if node.save_with_history
-          render :text => node.id.to_s
-        else
-          render :nothing => true, :status => 500
-        end
-        return
-
-      else
-        render :nothing => true, :status => 400 # if we got here the doc didnt parse
-        return
-      end
-    end
+  require "xml/libxml"
+
+  skip_before_action :verify_authenticity_token
+  before_action :authorize, :only => [:create, :update, :delete]
+  before_action :require_allow_write_api, :only => [:create, :update, :delete]
+  before_action :require_public_data, :only => [:create, :update, :delete]
+  before_action :check_api_writable, :only => [:create, :update, :delete]
+  before_action :check_api_readable, :except => [:create, :update, :delete]
+  around_action :api_call_handle_error, :api_call_timeout
 
 
-    render :nothing => true, :status => 500 # something went very wrong
+  # Create a node from XML.
+  def create
+    assert_method :put
+
+    node = Node.from_xml(request.raw_post, true)
+
+    # Assume that Node.from_xml has thrown an exception if there is an error parsing the xml
+    node.create_with_history @user
+    render :plain => node.id.to_s
   end
 
   end
 
-  def rest
-    response.headers["Content-Type"] = 'application/xml'
-    unless Node.exists?(params[:id])
-      render :nothing => true, :status => 404
-      return
+  # Dump the details on a node given in params[:id]
+  def read
+    node = Node.find(params[:id])
+
+    response.last_modified = node.timestamp
+
+    if node.visible
+      render :xml => node.to_xml.to_s
+    else
+      head :gone
     end
     end
+  end
 
 
+  # Update a node from given XML
+  def update
     node = Node.find(params[:id])
     node = Node.find(params[:id])
+    new_node = Node.from_xml(request.raw_post)
 
 
-    case request.method
-
-    when :get
-      unless node
-        render :nothing => true, :status => 500
-        return
-      end
-
-      unless node.visible
-        render :nothing => true, :status => 410
-        return
-      end
-
-      render :text => node.to_xml.to_s
-      return
-
-    when :delete
-      if node.visible
-        node.visible = 0
-        node.save_with_history
-        render :nothing => true
-      else
-        render :nothing => true, :status => 410
-      end
-
-    when :put
-      new_node = Node.from_xml(request.raw_post)
-
-      node.timestamp = Time.now
-      node.user_id = @user.id
-
-      node.latitude = new_node.latitude 
-      node.longitude = new_node.longitude
-      node.tags = new_node.tags
-
-      if node.id == new_node.id and node.save_with_history
-        render :nothing => true, :status => 200
-      else
-        render :nothing => true, :status => 500
-      end
-      return
+    unless new_node && new_node.id == node.id
+      raise OSM::APIBadUserInput.new("The id in the url (#{node.id}) is not the same as provided in the xml (#{new_node.id})")
     end
 
     end
 
+    node.update_from(new_node, @user)
+    render :plain => node.version.to_s
+  end
+
+  # Delete a node. Doesn't actually delete it, but retains its history
+  # in a wiki-like way. We therefore treat it like an update, so the delete
+  # method returns the new version number.
+  def delete
+    node = Node.find(params[:id])
+    new_node = Node.from_xml(request.raw_post)
+
+    unless new_node && new_node.id == node.id
+      raise OSM::APIBadUserInput.new("The id in the url (#{node.id}) is not the same as provided in the xml (#{new_node.id})")
+    end
+    node.delete_with_history!(new_node, @user)
+    render :plain => node.version.to_s
   end
 
   end
 
+  # Dump the details on many nodes whose ids are given in the "nodes" parameter.
   def nodes
   def nodes
-    response.headers["Content-Type"] = 'application/xml'
-    ids = params['nodes'].split(',').collect {|n| n.to_i }
-    if ids.length > 0
-      nodelist = Node.find(ids)
-      doc = get_xml_doc
-      nodelist.each do |node|
-        doc.root << node.to_xml_node
-      end 
-      render :text => doc.to_s
-    else
-      render :nothing => true, :status => 400
+    unless params["nodes"]
+      raise OSM::APIBadUserInput.new("The parameter nodes is required, and must be of the form nodes=id[,id[,id...]]")
     end
     end
+
+    ids = params["nodes"].split(",").collect(&:to_i)
+
+    if ids.empty?
+      raise OSM::APIBadUserInput.new("No nodes were given to search for")
+    end
+    doc = OSM::API.new.get_xml_doc
+
+    Node.find(ids).each do |node|
+      doc.root << node.to_xml_node
+    end
+
+    render :xml => doc.to_s
   end
 end
   end
 end