03238ea28261324eb406ec5b48264d04abde9ea4
[rails.git] / test / controllers / user_controller_test.rb
1 require "test_helper"
2
3 class UserControllerTest < ActionController::TestCase
4   api_fixtures
5   fixtures :messages, :friends
6
7   ##
8   # test all routes which lead to this controller
9   def test_routes
10     assert_routing(
11       { :path => "/api/0.6/user/1", :method => :get },
12       { :controller => "user", :action => "api_read", :id => "1" }
13     )
14     assert_routing(
15       { :path => "/api/0.6/user/details", :method => :get },
16       { :controller => "user", :action => "api_details" }
17     )
18     assert_routing(
19       { :path => "/api/0.6/user/gpx_files", :method => :get },
20       { :controller => "user", :action => "api_gpx_files" }
21     )
22
23     assert_routing(
24       { :path => "/login", :method => :get },
25       { :controller => "user", :action => "login" }
26     )
27     assert_routing(
28       { :path => "/login", :method => :post },
29       { :controller => "user", :action => "login" }
30     )
31     assert_recognizes(
32       { :controller => "user", :action => "login", :format => "html" },
33       { :path => "/login.html", :method => :get }
34     )
35
36     assert_routing(
37       { :path => "/logout", :method => :get },
38       { :controller => "user", :action => "logout" }
39     )
40     assert_routing(
41       { :path => "/logout", :method => :post },
42       { :controller => "user", :action => "logout" }
43     )
44     assert_recognizes(
45       { :controller => "user", :action => "logout", :format => "html" },
46       { :path => "/logout.html", :method => :get }
47     )
48
49     assert_routing(
50       { :path => "/user/new", :method => :get },
51       { :controller => "user", :action => "new" }
52     )
53
54     assert_routing(
55       { :path => "/user/new", :method => :post },
56       { :controller => "user", :action => "create" }
57     )
58
59     assert_routing(
60       { :path => "/user/terms", :method => :get },
61       { :controller => "user", :action => "terms" }
62     )
63
64     assert_routing(
65       { :path => "/user/save", :method => :post },
66       { :controller => "user", :action => "save" }
67     )
68
69     assert_routing(
70       { :path => "/user/username/confirm", :method => :get },
71       { :controller => "user", :action => "confirm", :display_name => "username" }
72     )
73     assert_routing(
74       { :path => "/user/username/confirm", :method => :post },
75       { :controller => "user", :action => "confirm", :display_name => "username" }
76     )
77     assert_routing(
78       { :path => "/user/username/confirm/resend", :method => :get },
79       { :controller => "user", :action => "confirm_resend", :display_name => "username" }
80     )
81
82     assert_routing(
83       { :path => "/user/confirm", :method => :get },
84       { :controller => "user", :action => "confirm" }
85     )
86     assert_routing(
87       { :path => "/user/confirm", :method => :post },
88       { :controller => "user", :action => "confirm" }
89     )
90     assert_routing(
91       { :path => "/user/confirm-email", :method => :get },
92       { :controller => "user", :action => "confirm_email" }
93     )
94     assert_routing(
95       { :path => "/user/confirm-email", :method => :post },
96       { :controller => "user", :action => "confirm_email" }
97     )
98
99     assert_routing(
100       { :path => "/user/go_public", :method => :post },
101       { :controller => "user", :action => "go_public" }
102     )
103
104     assert_routing(
105       { :path => "/user/forgot-password", :method => :get },
106       { :controller => "user", :action => "lost_password" }
107     )
108     assert_routing(
109       { :path => "/user/forgot-password", :method => :post },
110       { :controller => "user", :action => "lost_password" }
111     )
112     assert_routing(
113       { :path => "/user/reset-password", :method => :get },
114       { :controller => "user", :action => "reset_password" }
115     )
116     assert_routing(
117       { :path => "/user/reset-password", :method => :post },
118       { :controller => "user", :action => "reset_password" }
119     )
120
121     assert_routing(
122       { :path => "/user/suspended", :method => :get },
123       { :controller => "user", :action => "suspended" }
124     )
125
126     assert_routing(
127       { :path => "/user/username", :method => :get },
128       { :controller => "user", :action => "view", :display_name => "username" }
129     )
130
131     assert_routing(
132       { :path => "/user/username/account", :method => :get },
133       { :controller => "user", :action => "account", :display_name => "username" }
134     )
135     assert_routing(
136       { :path => "/user/username/account", :method => :post },
137       { :controller => "user", :action => "account", :display_name => "username" }
138     )
139
140     assert_routing(
141       { :path => "/user/username/make_friend", :method => :get },
142       { :controller => "user", :action => "make_friend", :display_name => "username" }
143     )
144     assert_routing(
145       { :path => "/user/username/make_friend", :method => :post },
146       { :controller => "user", :action => "make_friend", :display_name => "username" }
147     )
148     assert_routing(
149       { :path => "/user/username/remove_friend", :method => :get },
150       { :controller => "user", :action => "remove_friend", :display_name => "username" }
151     )
152     assert_routing(
153       { :path => "/user/username/remove_friend", :method => :post },
154       { :controller => "user", :action => "remove_friend", :display_name => "username" }
155     )
156
157     assert_routing(
158       { :path => "/user/username/set_status", :method => :get },
159       { :controller => "user", :action => "set_status", :display_name => "username" }
160     )
161     assert_routing(
162       { :path => "/user/username/delete", :method => :get },
163       { :controller => "user", :action => "delete", :display_name => "username" }
164     )
165
166     assert_routing(
167       { :path => "/users", :method => :get },
168       { :controller => "user", :action => "list" }
169     )
170     assert_routing(
171       { :path => "/users", :method => :post },
172       { :controller => "user", :action => "list" }
173     )
174     assert_routing(
175       { :path => "/users/status", :method => :get },
176       { :controller => "user", :action => "list", :status => "status" }
177     )
178     assert_routing(
179       { :path => "/users/status", :method => :post },
180       { :controller => "user", :action => "list", :status => "status" }
181     )
182   end
183
184   # The user creation page loads
185   def test_new_view
186     get :new
187     assert_response :redirect
188     assert_redirected_to user_new_path(:cookie_test => "true")
189
190     get :new, { :cookie_test => "true" }, { :cookie_test => true }
191     assert_response :success
192
193     assert_select "html", :count => 1 do
194       assert_select "head", :count => 1 do
195         assert_select "title", :text => /Sign Up/, :count => 1
196       end
197       assert_select "body", :count => 1 do
198         assert_select "div#content", :count => 1 do
199           assert_select "form[action='/user/new'][method='post']", :count => 1 do
200             assert_select "input[id='user_email']", :count => 1
201             assert_select "input[id='user_email_confirmation']", :count => 1
202             assert_select "input[id='user_display_name']", :count => 1
203             assert_select "input[id='user_pass_crypt'][type='password']", :count => 1
204             assert_select "input[id='user_pass_crypt_confirmation'][type='password']", :count => 1
205             assert_select "input[type='submit'][value='Sign Up']", :count => 1
206           end
207         end
208       end
209     end
210   end
211
212   def test_new_view_logged_in
213     session[:user] = users(:normal_user).id
214
215     get :new
216     assert_response :redirect
217     assert_redirected_to user_new_path(:cookie_test => "true")
218     get :new, :cookie_test => "true"
219     assert_response :redirect
220     assert_redirected_to root_path
221
222     get :new, :referer => "/test"
223     assert_response :redirect
224     assert_redirected_to user_new_path(:referer => "/test", :cookie_test => "true")
225     get :new, :referer => "/test", :cookie_test => "true"
226     assert_response :redirect
227     assert_redirected_to "/test"
228   end
229
230   def test_new_success
231     user = new_user
232
233     assert_difference "User.count", 1 do
234       assert_difference "ActionMailer::Base.deliveries.size", 1 do
235         post :save, {}, { :new_user => user }
236       end
237     end
238
239     # Check the e-mail
240     register_email = ActionMailer::Base.deliveries.first
241
242     assert_equal register_email.to[0], user.email
243     assert_match /#{@url}/, register_email.body.to_s
244
245     # Check the page
246     assert_redirected_to :action => "confirm", :display_name => user.display_name
247
248     ActionMailer::Base.deliveries.clear
249   end
250
251   def test_new_duplicate_email
252     user = new_user
253     user.email = users(:public_user).email
254
255     assert_no_difference "User.count" do
256       assert_no_difference "ActionMailer::Base.deliveries.size" do
257         post :save, {}, { :new_user => user }
258       end
259     end
260
261     assert_response :success
262     assert_template "new"
263     assert_select "form > fieldset > div.form-row > input.field_with_errors#user_email"
264   end
265
266   def test_new_duplicate_email_uppercase
267     user = new_user
268     user.email = users(:public_user).email.upcase
269
270     assert_no_difference "User.count" do
271       assert_no_difference "ActionMailer::Base.deliveries.size" do
272         post :save, {}, { :new_user => user }
273       end
274     end
275
276     assert_response :success
277     assert_template "new"
278     assert_select "form > fieldset > div.form-row > input.field_with_errors#user_email"
279   end
280
281   def test_new_duplicate_name
282     user = new_user
283     user.display_name = users(:public_user).display_name
284
285     assert_no_difference "User.count" do
286       assert_no_difference "ActionMailer::Base.deliveries.size" do
287         post :save, {}, { :new_user => user }
288       end
289     end
290
291     assert_response :success
292     assert_template "new"
293     assert_select "form > fieldset > div.form-row > input.field_with_errors#user_display_name"
294   end
295
296   def test_new_duplicate_name_uppercase
297     user = new_user
298     user.display_name = users(:public_user).display_name.upcase
299
300     assert_no_difference "User.count" do
301       assert_no_difference "ActionMailer::Base.deliveries.size" do
302         post :save, {}, { :new_user => user }
303       end
304     end
305
306     assert_response :success
307     assert_template "new"
308     assert_select "form > fieldset > div.form-row > input.field_with_errors#user_display_name"
309   end
310
311   def test_save_referer_params
312     user = new_user
313
314     assert_difference "User.count", 1 do
315       assert_difference "ActionMailer::Base.deliveries.size", 1 do
316         post :save, {}, { :new_user => user,
317                           :referer => "/edit?editor=id#map=1/2/3" }
318       end
319     end
320
321     assert_equal welcome_path(:editor => "id", :zoom => 1, :lat => 2, :lon => 3),
322                  user.tokens.order("id DESC").first.referer
323
324     ActionMailer::Base.deliveries.clear
325   end
326
327   def test_logout_without_referer
328     get :logout
329     assert_response :success
330     assert_template :logout
331     assert_select "input[name=referer][value=?]", ""
332
333     session_id = assert_select("input[name=session]").first["value"]
334
335     get :logout, :session => session_id
336     assert_response :redirect
337     assert_redirected_to root_path
338   end
339
340   def test_logout_with_referer
341     get :logout, :referer => "/test"
342     assert_response :success
343     assert_template :logout
344     assert_select "input[name=referer][value=?]", "/test"
345
346     session_id = assert_select("input[name=session]").first["value"]
347
348     get :logout, :session => session_id, :referer => "/test"
349     assert_response :redirect
350     assert_redirected_to "/test"
351   end
352
353   def test_logout_with_token
354     token = users(:normal_user).tokens.create
355
356     session[:token] = token.token
357
358     get :logout
359     assert_response :success
360     assert_template :logout
361     assert_select "input[name=referer][value=?]", ""
362     assert_equal token.token, session[:token]
363     assert_not_nil UserToken.where(:id => token.id).first
364
365     session_id = assert_select("input[name=session]").first["value"]
366
367     get :logout, :session => session_id
368     assert_response :redirect
369     assert_redirected_to root_path
370     assert_nil session[:token]
371     assert_nil UserToken.where(:id => token.id).first
372   end
373
374   def test_confirm_get
375     user = users(:inactive_user)
376     confirm_string = user.tokens.create.token
377
378     @request.cookies["_osm_session"] = user.display_name
379     get :confirm, :display_name => user.display_name, :confirm_string => confirm_string
380     assert_response :success
381     assert_template :confirm
382   end
383
384   def test_confirm_get_already_confirmed
385     user = users(:normal_user)
386     confirm_string = user.tokens.create.token
387
388     @request.cookies["_osm_session"] = user.display_name
389     get :confirm, :display_name => user.display_name, :confirm_string => confirm_string
390     assert_response :redirect
391     assert_redirected_to root_path
392   end
393
394   def test_confirm_success_no_token_no_referer
395     user = users(:inactive_user)
396     confirm_string = user.tokens.create.token
397
398     @request.cookies["_osm_session"] = user.display_name
399     post :confirm, :display_name => user.display_name, :confirm_string => confirm_string
400     assert_redirected_to login_path
401     assert_match /Confirmed your account/, flash[:notice]
402   end
403
404   def test_confirm_success_good_token_no_referer
405     user = users(:inactive_user)
406     confirm_string = user.tokens.create.token
407     token = user.tokens.create.token
408
409     @request.cookies["_osm_session"] = user.display_name
410     post :confirm, { :display_name => user.display_name, :confirm_string => confirm_string }, { :token => token }
411     assert_redirected_to welcome_path
412   end
413
414   def test_confirm_success_bad_token_no_referer
415     user = users(:inactive_user)
416     confirm_string = user.tokens.create.token
417     token = users(:normal_user).tokens.create.token
418
419     @request.cookies["_osm_session"] = user.display_name
420     post :confirm, { :display_name => user.display_name, :confirm_string => confirm_string }, { :token => token }
421     assert_redirected_to login_path
422     assert_match /Confirmed your account/, flash[:notice]
423   end
424
425   def test_confirm_success_no_token_with_referer
426     user = users(:inactive_user)
427     confirm_string = user.tokens.create(:referer => diary_new_path).token
428
429     @request.cookies["_osm_session"] = user.display_name
430     post :confirm, :display_name => user.display_name, :confirm_string => confirm_string
431     assert_redirected_to login_path(:referer => diary_new_path)
432     assert_match /Confirmed your account/, flash[:notice]
433   end
434
435   def test_confirm_success_good_token_with_referer
436     user = users(:inactive_user)
437     confirm_string = user.tokens.create(:referer => diary_new_path).token
438     token = user.tokens.create.token
439
440     @request.cookies["_osm_session"] = user.display_name
441     post :confirm, { :display_name => user.display_name, :confirm_string => confirm_string }, { :token => token }
442     assert_redirected_to diary_new_path
443   end
444
445   def test_confirm_success_bad_token_with_referer
446     user = users(:inactive_user)
447     confirm_string = user.tokens.create(:referer => diary_new_path).token
448     token = users(:normal_user).tokens.create.token
449
450     @request.cookies["_osm_session"] = user.display_name
451     post :confirm, { :display_name => user.display_name, :confirm_string => confirm_string }, { :token => token }
452     assert_redirected_to login_path(:referer => diary_new_path)
453     assert_match /Confirmed your account/, flash[:notice]
454   end
455
456   def test_confirm_expired_token
457     user = users(:inactive_user)
458     confirm_string = user.tokens.create(:expiry => 1.day.ago).token
459
460     @request.cookies["_osm_session"] = user.display_name
461     post :confirm, :display_name => user.display_name, :confirm_string => confirm_string
462     assert_redirected_to :action => "confirm"
463     assert_match /confirmation code has expired/, flash[:error]
464   end
465
466   def test_confirm_already_confirmed
467     user = users(:normal_user)
468     confirm_string = user.tokens.create(:referer => diary_new_path).token
469
470     @request.cookies["_osm_session"] = user.display_name
471     post :confirm, :display_name => user.display_name, :confirm_string => confirm_string
472     assert_redirected_to :action => "login"
473     assert_match /already been confirmed/, flash[:error]
474   end
475
476   def test_confirm_resend_success
477     assert_difference "ActionMailer::Base.deliveries.size", 1 do
478       get :confirm_resend, :display_name => users(:inactive_user).display_name
479     end
480
481     assert_response :redirect
482     assert_redirected_to login_path
483     assert_match /sent a new confirmation/, flash[:notice]
484
485     email = ActionMailer::Base.deliveries.last
486
487     assert_equal users(:inactive_user).email, email.to.first
488
489     ActionMailer::Base.deliveries.clear
490   end
491
492   def test_confirm_resend_failure
493     assert_no_difference "ActionMailer::Base.deliveries.size" do
494       get :confirm_resend, :display_name => "No Such User"
495     end
496
497     assert_response :redirect
498     assert_redirected_to login_path
499     assert_match "User No Such User not found.", flash[:error]
500   end
501
502   def test_confirm_email_get
503     user = users(:normal_user)
504     confirm_string = user.tokens.create.token
505
506     get :confirm_email, :confirm_string => confirm_string
507     assert_response :success
508     assert_template :confirm_email
509   end
510
511   def test_confirm_email_success
512     user = users(:second_public_user)
513     confirm_string = user.tokens.create.token
514
515     post :confirm_email, :confirm_string => confirm_string
516     assert_response :redirect
517     assert_redirected_to :action => :account, :display_name => user.display_name
518     assert_match /Confirmed your change of email address/, flash[:notice]
519   end
520
521   def test_confirm_email_already_confirmed
522     user = users(:normal_user)
523     confirm_string = user.tokens.create.token
524
525     post :confirm_email, :confirm_string => confirm_string
526     assert_response :redirect
527     assert_redirected_to :action => :account, :display_name => user.display_name
528     assert_match /already been confirmed/, flash[:error]
529   end
530
531   def test_confirm_email_bad_token
532     post :confirm_email, :confirm_string => "XXXXX"
533     assert_response :success
534     assert_template :confirm_email
535     assert_match /confirmation code has expired or does not exist/, flash[:error]
536   end
537
538   def test_terms_new_user
539     get :terms, {}, { :new_user => User.new }
540     assert_response :success
541     assert_template :terms
542   end
543
544   def test_terms_seen
545     user = users(:normal_user)
546
547     session[:user] = user.id
548
549     get :terms
550     assert_response :redirect
551     assert_redirected_to :action => :account, :display_name => user.display_name
552   end
553
554   def test_terms_not_seen_without_referer
555     user = users(:terms_not_seen_user)
556
557     session[:user] = user.id
558
559     get :terms
560     assert_response :success
561     assert_template :terms
562
563     post :save, :user => { :consider_pd => true }
564     assert_response :redirect
565     assert_redirected_to :action => :account, :display_name => user.display_name
566     assert_equal "Thanks for accepting the new contributor terms!", flash[:notice]
567
568     user.reload
569
570     assert_equal true, user.consider_pd
571     assert_not_nil user.terms_agreed
572     assert_equal true, user.terms_seen
573   end
574
575   def test_terms_not_seen_with_referer
576     user = users(:terms_not_seen_user)
577
578     session[:user] = user.id
579
580     get :terms, :referer => "/test"
581     assert_response :success
582     assert_template :terms
583
584     post :save, :user => { :consider_pd => true }, :referer => "/test"
585     assert_response :redirect
586     assert_redirected_to "/test"
587     assert_equal "Thanks for accepting the new contributor terms!", flash[:notice]
588
589     user.reload
590
591     assert_equal true, user.consider_pd
592     assert_not_nil user.terms_agreed
593     assert_equal true, user.terms_seen
594   end
595
596   def test_go_public
597     post :go_public, {}, { :user => users(:normal_user) }
598     assert_response :redirect
599     assert_redirected_to :action => :account, :display_name => users(:normal_user).display_name
600     assert_equal true, User.find(users(:normal_user).id).data_public
601   end
602
603   def test_lost_password
604     # Test fetching the lost password page
605     get :lost_password
606     assert_response :success
607     assert_template :lost_password
608     assert_select "div#notice", false
609
610     # Test resetting using the address as recorded for a user that has an
611     # address which is duplicated in a different case by another user
612     assert_difference "ActionMailer::Base.deliveries.size", 1 do
613       post :lost_password, :user => { :email => users(:normal_user).email }
614     end
615     assert_response :redirect
616     assert_redirected_to :action => :login
617     assert_match /^Sorry you lost it/, flash[:notice]
618     email = ActionMailer::Base.deliveries.first
619     assert_equal 1, email.to.count
620     assert_equal users(:normal_user).email, email.to.first
621     ActionMailer::Base.deliveries.clear
622
623     # Test resetting using an address that matches a different user
624     # that has the same address in a different case
625     assert_difference "ActionMailer::Base.deliveries.size", 1 do
626       post :lost_password, :user => { :email => users(:normal_user).email.upcase }
627     end
628     assert_response :redirect
629     assert_redirected_to :action => :login
630     assert_match /^Sorry you lost it/, flash[:notice]
631     email = ActionMailer::Base.deliveries.first
632     assert_equal 1, email.to.count
633     assert_equal users(:uppercase_user).email, email.to.first
634     ActionMailer::Base.deliveries.clear
635
636     # Test resetting using an address that is a case insensitive match
637     # for more than one user but not an exact match for either
638     assert_no_difference "ActionMailer::Base.deliveries.size" do
639       post :lost_password, :user => { :email => users(:normal_user).email.titlecase }
640     end
641     assert_response :success
642     assert_template :lost_password
643     assert_select ".error", /^Could not find that email address/
644
645     # Test resetting using the address as recorded for a user that has an
646     # address which is case insensitively unique
647     assert_difference "ActionMailer::Base.deliveries.size", 1 do
648       post :lost_password, :user => { :email => users(:public_user).email }
649     end
650     assert_response :redirect
651     assert_redirected_to :action => :login
652     assert_match /^Sorry you lost it/, flash[:notice]
653     email = ActionMailer::Base.deliveries.first
654     assert_equal 1, email.to.count
655     assert_equal users(:public_user).email, email.to.first
656     ActionMailer::Base.deliveries.clear
657
658     # Test resetting using an address that matches a user that has the
659     # same (case insensitively unique) address in a different case
660     assert_difference "ActionMailer::Base.deliveries.size", 1 do
661       post :lost_password, :user => { :email => users(:public_user).email.upcase }
662     end
663     assert_response :redirect
664     assert_redirected_to :action => :login
665     assert_match /^Sorry you lost it/, flash[:notice]
666     email = ActionMailer::Base.deliveries.first
667     assert_equal 1, email.to.count
668     assert_equal users(:public_user).email, email.to.first
669     ActionMailer::Base.deliveries.clear
670   end
671
672   def test_reset_password
673     # Test a request with no token
674     get :reset_password
675     assert_response :bad_request
676
677     # Test a request with a bogus token
678     get :reset_password, :token => "made_up_token"
679     assert_response :redirect
680     assert_redirected_to :action => :lost_password
681
682     # Create a valid token for a user
683     token = User.find(users(:inactive_user).id).tokens.create
684
685     # Test a request with a valid token
686     get :reset_password, :token => token.token
687     assert_response :success
688     assert_template :reset_password
689
690     # Test setting a new password
691     post :reset_password, :token => token.token, :user => { :pass_crypt => "new_password", :pass_crypt_confirmation => "new_password" }
692     assert_response :redirect
693     assert_redirected_to :action => :login
694     user = User.find(users(:inactive_user).id)
695     assert_equal "active", user.status
696     assert_equal true, user.email_valid
697     assert_equal user, User.authenticate(:username => "inactive@openstreetmap.org", :password => "new_password")
698   end
699
700   def test_account
701     # Get a user to work with - note that this user deliberately
702     # conflicts with uppercase_user in the email and display name
703     # fields to test that we can change other fields without any
704     # validation errors being reported
705     user = users(:normal_user)
706
707     # Make sure that you are redirected to the login page when
708     # you are not logged in
709     get :account, :display_name => user.display_name
710     assert_response :redirect
711     assert_redirected_to :controller => :user, :action => "login", :referer => "/user/test/account"
712
713     # Make sure that you are blocked when not logged in as the right user
714     get :account, { :display_name => user.display_name }, { :user => users(:public_user).id }
715     assert_response :forbidden
716
717     # Make sure we get the page when we are logged in as the right user
718     get :account, { :display_name => user.display_name }, { :user => user }
719     assert_response :success
720     assert_template :account
721
722     # Updating the description should work
723     user.description = "new description"
724     post :account, { :display_name => user.display_name, :user => user.attributes }, { :user => user.id }
725     assert_response :success
726     assert_template :account
727     assert_select "div#errorExplanation", false
728     assert_select ".notice", /^User information updated successfully/
729     assert_select "form#accountForm > fieldset > div.form-row > div#user_description_container > div#user_description_content > textarea#user_description", user.description
730
731     # Changing to a invalid editor should fail
732     user.preferred_editor = "unknown"
733     post :account, { :display_name => user.display_name, :user => user.attributes }, { :user => user.id }
734     assert_response :success
735     assert_template :account
736     assert_select ".notice", false
737     assert_select "div#errorExplanation"
738     assert_select "form#accountForm > fieldset > div.form-row > select#user_preferred_editor > option[selected]", false
739
740     # Changing to a valid editor should work
741     user.preferred_editor = "potlatch2"
742     post :account, { :display_name => user.display_name, :user => user.attributes }, { :user => user.id }
743     assert_response :success
744     assert_template :account
745     assert_select "div#errorExplanation", false
746     assert_select ".notice", /^User information updated successfully/
747     assert_select "form#accountForm > fieldset > div.form-row > select#user_preferred_editor > option[selected][value=?]", "potlatch2"
748
749     # Changing to the default editor should work
750     user.preferred_editor = "default"
751     post :account, { :display_name => user.display_name, :user => user.attributes }, { :user => user.id }
752     assert_response :success
753     assert_template :account
754     assert_select "div#errorExplanation", false
755     assert_select ".notice", /^User information updated successfully/
756     assert_select "form#accountForm > fieldset > div.form-row > select#user_preferred_editor > option[selected]", false
757
758     # Changing to an uploaded image should work
759     image = Rack::Test::UploadedFile.new("test/traces/1.gif", "image/gif")
760     post :account, { :display_name => user.display_name, :image_action => "new", :user => user.attributes.merge(:image => image) }, { :user => user.id }
761     assert_response :success
762     assert_template :account
763     assert_select "div#errorExplanation", false
764     assert_select ".notice", /^User information updated successfully/
765     assert_select "form#accountForm > fieldset > div.form-row.accountImage input[name=image_action][checked][value=?]", "keep"
766
767     # Changing to a gravatar image should work
768     post :account, { :display_name => user.display_name, :image_action => "gravatar", :user => user.attributes }, { :user => user.id }
769     assert_response :success
770     assert_template :account
771     assert_select "div#errorExplanation", false
772     assert_select ".notice", /^User information updated successfully/
773     assert_select "form#accountForm > fieldset > div.form-row.accountImage input[name=image_action][checked][value=?]", "gravatar"
774
775     # Removing the image should work
776     post :account, { :display_name => user.display_name, :image_action => "delete", :user => user.attributes }, { :user => user.id }
777     assert_response :success
778     assert_template :account
779     assert_select "div#errorExplanation", false
780     assert_select ".notice", /^User information updated successfully/
781     assert_select "form#accountForm > fieldset > div.form-row.accountImage input[name=image_action][checked]", false
782
783     # Adding external authentication should redirect to the auth provider
784     post :account, { :display_name => user.display_name, :user => user.attributes.merge(:auth_provider => "openid", :auth_uid => "gmail.com") }, { :user => user.id }
785     assert_response :redirect
786     assert_redirected_to auth_path(:provider => "openid", :openid_url => "https://www.google.com/accounts/o8/id", :origin => "/user/#{user.display_name}/account")
787
788     # Changing name to one that exists should fail
789     new_attributes = user.attributes.dup.merge(:display_name => users(:public_user).display_name)
790     post :account, { :display_name => user.display_name, :user => new_attributes }, { :user => user.id }
791     assert_response :success
792     assert_template :account
793     assert_select ".notice", false
794     assert_select "div#errorExplanation"
795     assert_select "form#accountForm > fieldset > div.form-row > input.field_with_errors#user_display_name"
796
797     # Changing name to one that exists should fail, regardless of case
798     new_attributes = user.attributes.dup.merge(:display_name => users(:public_user).display_name.upcase)
799     post :account, { :display_name => user.display_name, :user => new_attributes }, { :user => user.id }
800     assert_response :success
801     assert_template :account
802     assert_select ".notice", false
803     assert_select "div#errorExplanation"
804     assert_select "form#accountForm > fieldset > div.form-row > input.field_with_errors#user_display_name"
805
806     # Changing name to one that doesn't exist should work
807     new_attributes = user.attributes.dup.merge(:display_name => "new tester")
808     post :account, { :display_name => user.display_name, :user => new_attributes }, { :user => user.id }
809     assert_response :success
810     assert_template :account
811     assert_select "div#errorExplanation", false
812     assert_select ".notice", /^User information updated successfully/
813     assert_select "form#accountForm > fieldset > div.form-row > input#user_display_name[value=?]", "new tester"
814
815     # Record the change of name
816     user.display_name = "new tester"
817
818     # Changing email to one that exists should fail
819     user.new_email = users(:public_user).email
820     assert_no_difference "ActionMailer::Base.deliveries.size" do
821       post :account, { :display_name => user.display_name, :user => user.attributes }, { :user => user.id }
822     end
823     assert_response :success
824     assert_template :account
825     assert_select ".notice", false
826     assert_select "div#errorExplanation"
827     assert_select "form#accountForm > fieldset > div.form-row > input.field_with_errors#user_new_email"
828
829     # Changing email to one that exists should fail, regardless of case
830     user.new_email = users(:public_user).email.upcase
831     assert_no_difference "ActionMailer::Base.deliveries.size" do
832       post :account, { :display_name => user.display_name, :user => user.attributes }, { :user => user.id }
833     end
834     assert_response :success
835     assert_template :account
836     assert_select ".notice", false
837     assert_select "div#errorExplanation"
838     assert_select "form#accountForm > fieldset > div.form-row > input.field_with_errors#user_new_email"
839
840     # Changing email to one that doesn't exist should work
841     user.new_email = "new_tester@example.com"
842     assert_difference "ActionMailer::Base.deliveries.size", 1 do
843       post :account, { :display_name => user.display_name, :user => user.attributes }, { :user => user.id }
844     end
845     assert_response :success
846     assert_template :account
847     assert_select "div#errorExplanation", false
848     assert_select ".notice", /^User information updated successfully/
849     assert_select "form#accountForm > fieldset > div.form-row > input#user_new_email[value=?]", user.new_email
850     email = ActionMailer::Base.deliveries.first
851     assert_equal 1, email.to.count
852     assert_equal user.new_email, email.to.first
853     ActionMailer::Base.deliveries.clear
854   end
855
856   # Check that the user account page will display and contains some relevant
857   # information for the user
858   def test_view
859     # Test a non-existent user
860     get :view, :display_name => "unknown"
861     assert_response :not_found
862
863     # Test a normal user
864     get :view, :display_name => "test"
865     assert_response :success
866     assert_select "div#userinformation" do
867       assert_select "a[href^='/user/test/history']", 1
868       assert_select "a[href='/user/test/traces']", 1
869       assert_select "a[href='/user/test/diary']", 1
870       assert_select "a[href='/user/test/diary/comments']", 1
871       assert_select "a[href='/user/test/account']", 0
872       assert_select "a[href='/user/test/blocks']", 0
873       assert_select "a[href='/user/test/blocks_by']", 0
874       assert_select "a[href='/blocks/new/test']", 0
875     end
876
877     # Test a user who has been blocked
878     get :view, :display_name => "blocked"
879     assert_response :success
880     assert_select "div#userinformation" do
881       assert_select "a[href^='/user/blocked/history']", 1
882       assert_select "a[href='/user/blocked/traces']", 1
883       assert_select "a[href='/user/blocked/diary']", 1
884       assert_select "a[href='/user/blocked/diary/comments']", 1
885       assert_select "a[href='/user/blocked/account']", 0
886       assert_select "a[href='/user/blocked/blocks']", 1
887       assert_select "a[href='/user/blocked/blocks_by']", 0
888       assert_select "a[href='/blocks/new/blocked']", 0
889     end
890
891     # Test a moderator who has applied blocks
892     get :view, :display_name => "moderator"
893     assert_response :success
894     assert_select "div#userinformation" do
895       assert_select "a[href^='/user/moderator/history']", 1
896       assert_select "a[href='/user/moderator/traces']", 1
897       assert_select "a[href='/user/moderator/diary']", 1
898       assert_select "a[href='/user/moderator/diary/comments']", 1
899       assert_select "a[href='/user/moderator/account']", 0
900       assert_select "a[href='/user/moderator/blocks']", 0
901       assert_select "a[href='/user/moderator/blocks_by']", 1
902       assert_select "a[href='/blocks/new/moderator']", 0
903     end
904
905     # Login as a normal user
906     session[:user] = users(:normal_user).id
907
908     # Test the normal user
909     get :view, :display_name => "test"
910     assert_response :success
911     assert_select "div#userinformation" do
912       assert_select "a[href^='/user/test/history']", 1
913       assert_select "a[href='/traces/mine']", 1
914       assert_select "a[href='/user/test/diary']", 1
915       assert_select "a[href='/user/test/diary/comments']", 1
916       assert_select "a[href='/user/test/account']", 1
917       assert_select "a[href='/user/test/blocks']", 0
918       assert_select "a[href='/user/test/blocks_by']", 0
919       assert_select "a[href='/blocks/new/test']", 0
920     end
921
922     # Login as a moderator
923     session[:user] = users(:moderator_user).id
924
925     # Test the normal user
926     get :view, :display_name => "test"
927     assert_response :success
928     assert_select "div#userinformation" do
929       assert_select "a[href^='/user/test/history']", 1
930       assert_select "a[href='/user/test/traces']", 1
931       assert_select "a[href='/user/test/diary']", 1
932       assert_select "a[href='/user/test/diary/comments']", 1
933       assert_select "a[href='/user/test/account']", 0
934       assert_select "a[href='/user/test/blocks']", 0
935       assert_select "a[href='/user/test/blocks_by']", 0
936       assert_select "a[href='/blocks/new/test']", 1
937     end
938   end
939
940   def test_api_read
941     # check that a visible user is returned properly
942     get :api_read, :id => users(:normal_user).id
943     assert_response :success
944     assert_equal "text/xml", response.content_type
945
946     # check the data that is returned
947     assert_select "description", :count => 1, :text => "test"
948     assert_select "contributor-terms", :count => 1 do
949       assert_select "[agreed='true']"
950     end
951     assert_select "img", :count => 1
952     assert_select "roles", :count => 1 do
953       assert_select "role", :count => 0
954     end
955     assert_select "changesets", :count => 1 do
956       assert_select "[count='0']"
957     end
958     assert_select "traces", :count => 1 do
959       assert_select "[count='0']"
960     end
961     assert_select "blocks", :count => 1 do
962       assert_select "received", :count => 1 do
963         assert_select "[count='0'][active='0']"
964       end
965       assert_select "issued", :count => 0
966     end
967
968     # check that we aren't revealing private information
969     assert_select "contributor-terms[pd]", false
970     assert_select "home", false
971     assert_select "languages", false
972     assert_select "messages", false
973
974     # check that a suspended user is not returned
975     get :api_read, :id => users(:suspended_user).id
976     assert_response :gone
977
978     # check that a deleted user is not returned
979     get :api_read, :id => users(:deleted_user).id
980     assert_response :gone
981
982     # check that a non-existent user is not returned
983     get :api_read, :id => 0
984     assert_response :not_found
985   end
986
987   def test_api_details
988     # check that nothing is returned when not logged in
989     get :api_details
990     assert_response :unauthorized
991
992     # check that we get a response when logged in
993     basic_authorization(users(:normal_user).email, "test")
994     get :api_details
995     assert_response :success
996     assert_equal "text/xml", response.content_type
997
998     # check the data that is returned
999     assert_select "description", :count => 1, :text => "test"
1000     assert_select "contributor-terms", :count => 1 do
1001       assert_select "[agreed='true'][pd='false']"
1002     end
1003     assert_select "img", :count => 1
1004     assert_select "roles", :count => 1 do
1005       assert_select "role", :count => 0
1006     end
1007     assert_select "changesets", :count => 1 do
1008       assert_select "[count='0']", :count => 1
1009     end
1010     assert_select "traces", :count => 1 do
1011       assert_select "[count='0']", :count => 1
1012     end
1013     assert_select "blocks", :count => 1 do
1014       assert_select "received", :count => 1 do
1015         assert_select "[count='0'][active='0']"
1016       end
1017       assert_select "issued", :count => 0
1018     end
1019     assert_select "home", :count => 1 do
1020       assert_select "[lat='12.1'][lon='12.1'][zoom='3']"
1021     end
1022     assert_select "languages", :count => 1 do
1023       assert_select "lang", :count => 1, :text => "en"
1024     end
1025     assert_select "messages", :count => 1 do
1026       assert_select "received", :count => 1 do
1027         assert_select "[count='1'][unread='0']"
1028       end
1029       assert_select "sent", :count => 1 do
1030         assert_select "[count='1']"
1031       end
1032     end
1033   end
1034
1035   def test_api_gpx_files
1036     # check that nothing is returned when not logged in
1037     get :api_gpx_files
1038     assert_response :unauthorized
1039
1040     # check that we get a response when logged in
1041     basic_authorization(users(:normal_user).email, "test")
1042     get :api_gpx_files
1043     assert_response :success
1044     assert_equal "text/xml", response.content_type
1045
1046     # check the data that is returned
1047     assert_select "gpx_file[id='1']", 1 do
1048       assert_select "tag", "London"
1049     end
1050     assert_select "gpx_file[id='4']", 1 do
1051       assert_select "tag", "Birmingham"
1052     end
1053   end
1054
1055   def test_make_friend
1056     # Get users to work with
1057     user = users(:normal_user)
1058     friend = users(:second_public_user)
1059
1060     # Check that the users aren't already friends
1061     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1062
1063     # When not logged in a GET should ask us to login
1064     get :make_friend, :display_name => friend.display_name
1065     assert_redirected_to :controller => :user, :action => "login", :referer => make_friend_path(:display_name => friend.display_name)
1066
1067     # When not logged in a POST should error
1068     post :make_friend, :display_name => friend.display_name
1069     assert_response :forbidden
1070     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1071
1072     # When logged in a GET should get a confirmation page
1073     get :make_friend, { :display_name => friend.display_name }, { :user => user.id }
1074     assert_response :success
1075     assert_template :make_friend
1076     assert_select "form" do
1077       assert_select "input[type='hidden'][name='referer']", 0
1078       assert_select "input[type='submit']", 1
1079     end
1080     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1081
1082     # When logged in a POST should add the friendship
1083     assert_difference "ActionMailer::Base.deliveries.size", 1 do
1084       post :make_friend, { :display_name => friend.display_name }, { :user => user.id }
1085     end
1086     assert_redirected_to user_path(:display_name => friend.display_name)
1087     assert_match /is now your friend/, flash[:notice]
1088     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1089     email = ActionMailer::Base.deliveries.first
1090     assert_equal 1, email.to.count
1091     assert_equal friend.email, email.to.first
1092     ActionMailer::Base.deliveries.clear
1093
1094     # A second POST should report that the friendship already exists
1095     assert_no_difference "ActionMailer::Base.deliveries.size" do
1096       post :make_friend, { :display_name => friend.display_name }, { :user => user.id }
1097     end
1098     assert_redirected_to user_path(:display_name => friend.display_name)
1099     assert_match /You are already friends with/, flash[:warning]
1100     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1101   end
1102
1103   def test_make_friend_with_referer
1104     # Get users to work with
1105     user = users(:normal_user)
1106     friend = users(:second_public_user)
1107
1108     # Check that the users aren't already friends
1109     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1110
1111     # The GET should preserve any referer
1112     get :make_friend, { :display_name => friend.display_name, :referer => "/test" }, { :user => user.id }
1113     assert_response :success
1114     assert_template :make_friend
1115     assert_select "form" do
1116       assert_select "input[type='hidden'][name='referer'][value='/test']", 1
1117       assert_select "input[type='submit']", 1
1118     end
1119     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1120
1121     # When logged in a POST should add the friendship and refer us
1122     assert_difference "ActionMailer::Base.deliveries.size", 1 do
1123       post :make_friend, { :display_name => friend.display_name, :referer => "/test" }, { :user => user.id }
1124     end
1125     assert_redirected_to "/test"
1126     assert_match /is now your friend/, flash[:notice]
1127     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1128     email = ActionMailer::Base.deliveries.first
1129     assert_equal 1, email.to.count
1130     assert_equal friend.email, email.to.first
1131     ActionMailer::Base.deliveries.clear
1132   end
1133
1134   def test_make_friend_unkown_user
1135     # Should error when a bogus user is specified
1136     get :make_friend, { :display_name => "No Such User" }, { :user => users(:normal_user).id }
1137     assert_response :not_found
1138     assert_template :no_such_user
1139   end
1140
1141   def test_remove_friend
1142     # Get users to work with
1143     user = users(:normal_user)
1144     friend = users(:public_user)
1145
1146     # Check that the users are friends
1147     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1148
1149     # When not logged in a GET should ask us to login
1150     get :remove_friend, :display_name => friend.display_name
1151     assert_redirected_to :controller => :user, :action => "login", :referer => remove_friend_path(:display_name => friend.display_name)
1152
1153     # When not logged in a POST should error
1154     post :remove_friend, :display_name => friend.display_name
1155     assert_response :forbidden
1156     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1157
1158     # When logged in a GET should get a confirmation page
1159     get :remove_friend, { :display_name => friend.display_name }, { :user => user.id }
1160     assert_response :success
1161     assert_template :remove_friend
1162     assert_select "form" do
1163       assert_select "input[type='hidden'][name='referer']", 0
1164       assert_select "input[type='submit']", 1
1165     end
1166     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1167
1168     # When logged in a POST should remove the friendship
1169     post :remove_friend, { :display_name => friend.display_name }, { :user => user.id }
1170     assert_redirected_to user_path(:display_name => friend.display_name)
1171     assert_match /was removed from your friends/, flash[:notice]
1172     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1173
1174     # A second POST should report that the friendship does not exist
1175     post :remove_friend, { :display_name => friend.display_name }, { :user => user.id }
1176     assert_redirected_to user_path(:display_name => friend.display_name)
1177     assert_match /is not one of your friends/, flash[:error]
1178     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1179   end
1180
1181   def test_remove_friend_with_referer
1182     # Get users to work with
1183     user = users(:normal_user)
1184     friend = users(:public_user)
1185
1186     # Check that the users are friends
1187     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1188
1189     # The GET should preserve any referer
1190     get :remove_friend, { :display_name => friend.display_name, :referer => "/test" }, { :user => user.id }
1191     assert_response :success
1192     assert_template :remove_friend
1193     assert_select "form" do
1194       assert_select "input[type='hidden'][name='referer'][value='/test']", 1
1195       assert_select "input[type='submit']", 1
1196     end
1197     assert Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1198
1199     # When logged in a POST should remove the friendship and refer
1200     post :remove_friend, { :display_name => friend.display_name, :referer => "/test" }, { :user => user.id }
1201     assert_redirected_to "/test"
1202     assert_match /was removed from your friends/, flash[:notice]
1203     assert_nil Friend.where(:user_id => user.id, :friend_user_id => friend.id).first
1204   end
1205
1206   def test_remove_friend_unkown_user
1207     # Should error when a bogus user is specified
1208     get :remove_friend, { :display_name => "No Such User" }, { :user => users(:normal_user).id }
1209     assert_response :not_found
1210     assert_template :no_such_user
1211   end
1212
1213   def test_set_status
1214     # Try without logging in
1215     get :set_status, :display_name => users(:normal_user).display_name, :status => "suspended"
1216     assert_response :redirect
1217     assert_redirected_to :action => :login, :referer => set_status_user_path(:status => "suspended")
1218
1219     # Now try as a normal user
1220     get :set_status, { :display_name => users(:normal_user).display_name, :status => "suspended" }, { :user => users(:normal_user).id }
1221     assert_response :redirect
1222     assert_redirected_to :action => :view, :display_name => users(:normal_user).display_name
1223
1224     # Finally try as an administrator
1225     get :set_status, { :display_name => users(:normal_user).display_name, :status => "suspended" }, { :user => users(:administrator_user).id }
1226     assert_response :redirect
1227     assert_redirected_to :action => :view, :display_name => users(:normal_user).display_name
1228     assert_equal "suspended", User.find(users(:normal_user).id).status
1229   end
1230
1231   def test_delete
1232     # Try without logging in
1233     get :delete, :display_name => users(:normal_user).display_name, :status => "suspended"
1234     assert_response :redirect
1235     assert_redirected_to :action => :login, :referer => delete_user_path(:status => "suspended")
1236
1237     # Now try as a normal user
1238     get :delete, { :display_name => users(:normal_user).display_name, :status => "suspended" }, { :user => users(:normal_user).id }
1239     assert_response :redirect
1240     assert_redirected_to :action => :view, :display_name => users(:normal_user).display_name
1241
1242     # Finally try as an administrator
1243     get :delete, { :display_name => users(:normal_user).display_name, :status => "suspended" }, { :user => users(:administrator_user).id }
1244     assert_response :redirect
1245     assert_redirected_to :action => :view, :display_name => users(:normal_user).display_name
1246
1247     # Check that the user was deleted properly
1248     user = User.find(users(:normal_user).id)
1249     assert_equal "user_1", user.display_name
1250     assert_equal "", user.description
1251     assert_nil user.home_lat
1252     assert_nil user.home_lon
1253     assert_equal false, user.image.file?
1254     assert_equal false, user.email_valid
1255     assert_nil user.new_email
1256     assert_nil user.auth_provider
1257     assert_nil user.auth_uid
1258     assert_equal "deleted", user.status
1259   end
1260
1261   def test_list_get
1262     # Shouldn't work when not logged in
1263     get :list
1264     assert_response :redirect
1265     assert_redirected_to :action => :login, :referer => users_path
1266
1267     session[:user] = users(:normal_user).id
1268
1269     # Shouldn't work when logged in as a normal user
1270     get :list
1271     assert_response :redirect
1272     assert_redirected_to :action => :login, :referer => users_path
1273
1274     session[:user] = users(:moderator_user).id
1275
1276     # Shouldn't work when logged in as a moderator
1277     get :list
1278     assert_response :redirect
1279     assert_redirected_to :action => :login, :referer => users_path
1280
1281     session[:user] = users(:administrator_user).id
1282
1283     # Should work when logged in as an administrator
1284     get :list
1285     assert_response :success
1286     assert_template :list
1287     assert_select "table#user_list tr", :count => User.count + 1
1288
1289     # Should be able to limit by status
1290     get :list, :status => "suspended"
1291     assert_response :success
1292     assert_template :list
1293     assert_select "table#user_list tr", :count => User.where(:status => "suspended").count + 1
1294
1295     # Should be able to limit by IP address
1296     get :list, :ip => "1.2.3.4"
1297     assert_response :success
1298     assert_template :list
1299     assert_select "table#user_list tr", :count => User.where(:creation_ip => "1.2.3.4").count + 1
1300   end
1301
1302   def test_list_get_paginated
1303     1.upto(100).each do |n|
1304       User.create(:display_name => "extra_#{n}",
1305                   :email => "extra#{n}@example.com",
1306                   :pass_crypt => "extraextra")
1307     end
1308
1309     session[:user] = users(:administrator_user).id
1310
1311     get :list
1312     assert_response :success
1313     assert_template :list
1314     assert_select "table#user_list tr", :count => 51
1315
1316     get :list, :page => 2
1317     assert_response :success
1318     assert_template :list
1319     assert_select "table#user_list tr", :count => 51
1320
1321     get :list, :page => 3
1322     assert_response :success
1323     assert_template :list
1324     assert_select "table#user_list tr", :count => 22
1325   end
1326
1327   def test_list_post_confirm
1328     inactive_user = users(:inactive_user)
1329     suspended_user = users(:suspended_user)
1330
1331     # Shouldn't work when not logged in
1332     assert_no_difference "User.active.count" do
1333       post :list, :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 }
1334     end
1335     assert_response :redirect
1336     assert_redirected_to :action => :login, :referer => users_path(:confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 })
1337     assert_equal "pending", inactive_user.reload.status
1338     assert_equal "suspended", suspended_user.reload.status
1339
1340     session[:user] = users(:normal_user).id
1341
1342     # Shouldn't work when logged in as a normal user
1343     assert_no_difference "User.active.count" do
1344       post :list, :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 }
1345     end
1346     assert_response :redirect
1347     assert_redirected_to :action => :login, :referer => users_path(:confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 })
1348     assert_equal "pending", inactive_user.reload.status
1349     assert_equal "suspended", suspended_user.reload.status
1350
1351     session[:user] = users(:moderator_user).id
1352
1353     # Shouldn't work when logged in as a moderator
1354     assert_no_difference "User.active.count" do
1355       post :list, :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 }
1356     end
1357     assert_response :redirect
1358     assert_redirected_to :action => :login, :referer => users_path(:confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 })
1359     assert_equal "pending", inactive_user.reload.status
1360     assert_equal "suspended", suspended_user.reload.status
1361
1362     session[:user] = users(:administrator_user).id
1363
1364     # Should work when logged in as an administrator
1365     assert_difference "User.active.count", 2 do
1366       post :list, :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 }
1367     end
1368     assert_response :redirect
1369     assert_redirected_to :action => :list
1370     assert_equal "confirmed", inactive_user.reload.status
1371     assert_equal "confirmed", suspended_user.reload.status
1372   end
1373
1374   def test_list_post_hide
1375     normal_user = users(:normal_user)
1376     confirmed_user = users(:confirmed_user)
1377
1378     # Shouldn't work when not logged in
1379     assert_no_difference "User.active.count" do
1380       post :list, :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 }
1381     end
1382     assert_response :redirect
1383     assert_redirected_to :action => :login, :referer => users_path(:hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 })
1384     assert_equal "active", normal_user.reload.status
1385     assert_equal "confirmed", confirmed_user.reload.status
1386
1387     session[:user] = users(:normal_user).id
1388
1389     # Shouldn't work when logged in as a normal user
1390     assert_no_difference "User.active.count" do
1391       post :list, :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 }
1392     end
1393     assert_response :redirect
1394     assert_redirected_to :action => :login, :referer => users_path(:hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 })
1395     assert_equal "active", normal_user.reload.status
1396     assert_equal "confirmed", confirmed_user.reload.status
1397
1398     session[:user] = users(:moderator_user).id
1399
1400     # Shouldn't work when logged in as a moderator
1401     assert_no_difference "User.active.count" do
1402       post :list, :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 }
1403     end
1404     assert_response :redirect
1405     assert_redirected_to :action => :login, :referer => users_path(:hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 })
1406     assert_equal "active", normal_user.reload.status
1407     assert_equal "confirmed", confirmed_user.reload.status
1408
1409     session[:user] = users(:administrator_user).id
1410
1411     # Should work when logged in as an administrator
1412     assert_difference "User.active.count", -2 do
1413       post :list, :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 }
1414     end
1415     assert_response :redirect
1416     assert_redirected_to :action => :list
1417     assert_equal "deleted", normal_user.reload.status
1418     assert_equal "deleted", confirmed_user.reload.status
1419   end
1420
1421   private
1422
1423   def new_user
1424     user = User.new
1425     user.status = "pending"
1426     user.display_name = "new_tester"
1427     user.email = "newtester@osm.org"
1428     user.email_confirmation = "newtester@osm.org"
1429     user.pass_crypt = "testtest"
1430     user.pass_crypt_confirmation = "testtest"
1431     user
1432   end
1433 end