]> git.openstreetmap.org Git - rails.git/blobdiff - app/abilities/api_capability.rb
Don't include stack backtraces on xml errors when importing traces
[rails.git] / app / abilities / api_capability.rb
index 9f59b1f2442f3568f67395e629b393563dc8e34b..d8be136438efded684104cbf9dfd0728b27221c8 100644 (file)
@@ -5,29 +5,29 @@ class ApiCapability
 
   def initialize(token)
     if Settings.status != "database_offline"
-      can [:create, :comment, :close, :reopen], Note if capability?(token, :allow_write_notes)
-      can [:api_read, :api_data], Trace if capability?(token, :allow_read_gpx)
-      can [:api_create, :api_update, :api_delete], Trace if capability?(token, :allow_write_gpx)
-      can [:api_details], User if capability?(token, :allow_read_prefs)
-      can [:api_gpx_files], User if capability?(token, :allow_read_gpx)
-      can [:read, :read_one], UserPreference if capability?(token, :allow_read_prefs)
-      can [:update, :update_one, :delete_one], UserPreference if capability?(token, :allow_write_prefs)
+      user = User.find(token.resource_owner_id)
 
-      if token&.user&.terms_agreed?
-        can [:create, :update, :upload, :close, :subscribe, :unsubscribe, :expand_bbox], Changeset if capability?(token, :allow_write_api)
-        can :create, ChangesetComment if capability?(token, :allow_write_api)
-        can [:create, :update, :delete], Node if capability?(token, :allow_write_api)
-        can [:create, :update, :delete], Way if capability?(token, :allow_write_api)
-        can [:create, :update, :delete], Relation if capability?(token, :allow_write_api)
-      end
+      if user&.active?
+        can [:create, :comment, :close, :reopen], Note if scope?(token, :write_notes)
+        can [:show, :data], Trace if scope?(token, :read_gpx)
+        can [:create, :update, :destroy], Trace if scope?(token, :write_gpx)
+        can [:details], User if scope?(token, :read_prefs)
+        can [:gpx_files], User if scope?(token, :read_gpx)
+        can [:index, :show], UserPreference if scope?(token, :read_prefs)
+        can [:update, :update_all, :destroy], UserPreference if scope?(token, :write_prefs)
+        can [:inbox, :outbox, :show, :update, :destroy], Message if scope?(token, :consume_messages)
+        can [:create], Message if scope?(token, :send_messages)
+
+        if user.terms_agreed?
+          can [:create, :update, :upload, :close, :subscribe, :unsubscribe], Changeset if scope?(token, :write_api)
+          can :create, ChangesetComment if scope?(token, :write_api)
+          can [:create, :update, :delete], [Node, Way, Relation] if scope?(token, :write_api)
+        end
 
-      if token&.user&.moderator?
-        can [:destroy, :restore], ChangesetComment if capability?(token, :allow_write_api)
-        can :destroy, Note if capability?(token, :allow_write_notes)
-        if token&.user&.terms_agreed?
-          can :redact, OldNode if capability?(token, :allow_write_api)
-          can :redact, OldWay if capability?(token, :allow_write_api)
-          can :redact, OldRelation if capability?(token, :allow_write_api)
+        if user.moderator?
+          can [:destroy, :restore], ChangesetComment if scope?(token, :write_api)
+          can :destroy, Note if scope?(token, :write_notes)
+          can :redact, [OldNode, OldWay, OldRelation] if user&.terms_agreed? && scope?(token, :write_redactions)
         end
       end
     end
@@ -35,7 +35,7 @@ class ApiCapability
 
   private
 
-  def capability?(token, cap)
-    token&.read_attribute(cap)
+  def scope?(token, scope)
+    token&.includes_scope?(scope)
   end
 end