]> git.openstreetmap.org Git - rails.git/commitdiff
Merge remote-tracking branch 'upstream/pull/2083'
authorTom Hughes <tom@compton.nu>
Wed, 12 Dec 2018 18:33:23 +0000 (18:33 +0000)
committerTom Hughes <tom@compton.nu>
Wed, 12 Dec 2018 18:33:23 +0000 (18:33 +0000)
app/controllers/application_controller.rb
test/controllers/user_preferences_controller_test.rb

index 6c6a087b7d1b9dadd75a775ff8a688ad05da966f..0411f75c425bfe8621f5716841a55db9ea6c5316 100644 (file)
@@ -446,9 +446,9 @@ class ApplicationController < ActionController::Base
   end
 
   def current_ability
-    # Add in capabilities from the oauth token if it exists and is a valid access token
+    # Use capabilities from the oauth token if it exists and is a valid access token
     if Authenticator.new(self, [:token]).allow?
-      Ability.new(current_user).merge(Capability.new(current_token))
+      Capability.new(current_token)
     else
       Ability.new(current_user)
     end
index ddd7e2a4010d94c6323d3d740238b48f9cd8ca9a..99b40d5f07037ed99fa4b7828aa0c256fcb8f936 100644 (file)
@@ -210,4 +210,35 @@ class UserPreferencesControllerTest < ActionController::TestCase
       UserPreference.find([user.id, "key"])
     end
   end
+
+  # Ensure that a valid access token with correct capabilities can be used to
+  # read preferences
+  def test_read_one_using_token
+    user = create(:user)
+    token = create(:access_token, :user => user, :allow_read_prefs => true)
+    create(:user_preference, :user => user, :k => "key", :v => "value")
+
+    # Hack together an oauth request - an alternative would be to sign the request properly
+    @request.env["oauth.version"] = 1
+    @request.env["oauth.strategies"] = [:token]
+    @request.env["oauth.token"] = token
+
+    get :read_one, :params => { :preference_key => "key" }
+    assert_response :success
+  end
+
+  # Ensure that a valid access token with incorrect capabilities can't be used
+  # to read preferences even, though the owner of that token could read them
+  # by other methods.
+  def test_read_one_using_token_fail
+    user = create(:user)
+    token = create(:access_token, :user => user, :allow_read_prefs => false)
+    create(:user_preference, :user => user, :k => "key", :v => "value")
+    @request.env["oauth.version"] = 1
+    @request.env["oauth.strategies"] = [:token]
+    @request.env["oauth.token"] = token
+
+    get :read_one, :params => { :preference_key => "key" }
+    assert_response :forbidden
+  end
 end