Merge 17067 from trunk.
[rails.git] / app / controllers / user_controller.rb
1 class UserController < ApplicationController
2   layout 'site', :except => :api_details
3
4   before_filter :authorize, :only => [:api_details, :api_gpx_files]
5   before_filter :authorize_web, :except => [:api_details, :api_gpx_files]
6   before_filter :set_locale, :except => [:api_details, :api_gpx_files]
7   before_filter :require_user, :only => [:set_home, :account, :go_public, :make_friend, :remove_friend, :upload_image, :delete_image]
8   before_filter :check_database_readable, :except => [:api_details, :api_gpx_files]
9   before_filter :check_database_writable, :only => [:login, :new, :set_home, :account, :go_public, :make_friend, :remove_friend, :upload_image, :delete_image]
10   before_filter :check_api_readable, :only => [:api_details, :api_gpx_files]
11   before_filter :require_allow_read_prefs, :only => [:api_details]
12   before_filter :require_allow_read_gpx, :only => [:api_gpx_files]
13   before_filter :require_cookies, :only => [:login, :confirm]
14   before_filter :require_administrator, :only => [:activate, :deactivate, :hide, :unhide, :delete]
15   before_filter :lookup_this_user, :only => [:activate, :deactivate, :hide, :unhide, :delete]
16
17   filter_parameter_logging :password, :pass_crypt, :pass_crypt_confirmation
18
19   def save
20     @title = t 'user.new.title'
21
22     if Acl.find_by_address(request.remote_ip, :conditions => {:k => "no_account_creation"})
23       render :action => 'new'
24     else
25       @user = User.new(params[:user])
26
27       @user.visible = true
28       @user.data_public = true
29       @user.description = "" if @user.description.nil?
30       @user.creation_ip = request.remote_ip
31       @user.languages = request.user_preferred_languages
32
33       if @user.save
34         flash[:notice] = t 'user.new.flash create success message'
35         Notifier.deliver_signup_confirm(@user, @user.tokens.create(:referer => params[:referer]))
36         redirect_to :action => 'login'
37       else
38         render :action => 'new'
39       end
40     end
41   end
42
43   def account
44     @title = t 'user.account.title'
45     @tokens = @user.oauth_tokens.find :all, :conditions => 'oauth_tokens.invalidated_at is null and oauth_tokens.authorized_at is not null'
46
47     if params[:user] and params[:user][:display_name] and params[:user][:description]
48       if params[:user][:email] != @user.email
49         @user.new_email = params[:user][:email]
50       end
51
52       @user.display_name = params[:user][:display_name]
53
54       if params[:user][:pass_crypt].length > 0 or params[:user][:pass_crypt_confirmation].length > 0
55         @user.pass_crypt = params[:user][:pass_crypt]
56         @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
57       end
58
59       @user.description = params[:user][:description]
60       @user.languages = params[:user][:languages].split(",")
61       @user.home_lat = params[:user][:home_lat]
62       @user.home_lon = params[:user][:home_lon]
63
64       if @user.save
65         set_locale
66
67         if params[:user][:email] == @user.new_email
68           flash[:notice] = t 'user.account.flash update success confirm needed'
69           Notifier.deliver_email_confirm(@user, @user.tokens.create)
70         else
71           flash[:notice] = t 'user.account.flash update success'
72         end
73       end
74     end
75   end
76
77   def set_home
78     if params[:user][:home_lat] and params[:user][:home_lon]
79       @user.home_lat = params[:user][:home_lat].to_f
80       @user.home_lon = params[:user][:home_lon].to_f
81       if @user.save
82         flash[:notice] = t 'user.set_home.flash success'
83         redirect_to :controller => 'user', :action => 'account'
84       end
85     end
86   end
87
88   def go_public
89     @user.data_public = true
90     @user.save
91     flash[:notice] = t 'user.go_public.flash success'
92     redirect_to :controller => 'user', :action => 'account', :display_name => @user.display_name
93   end
94
95   def lost_password
96     @title = t 'user.lost_password.title'
97
98     if params[:user] and params[:user][:email]
99       user = User.find_by_email(params[:user][:email], :conditions => {:visible => true})
100
101       if user
102         token = user.tokens.create
103         Notifier.deliver_lost_password(user, token)
104         @notice = t 'user.lost_password.notice email on way'
105       else
106         @notice = t 'user.lost_password.notice email cannot find'
107       end
108     end
109   end
110
111   def reset_password
112     @title = t 'user.reset_password.title'
113
114     if params[:token]
115       token = UserToken.find_by_token(params[:token])
116
117       if token
118         @user = token.user
119
120         if params[:user]
121           @user.pass_crypt = params[:user][:pass_crypt]
122           @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
123           @user.active = true
124           @user.email_valid = true
125
126           if @user.save
127             token.destroy
128             flash[:notice] = t 'user.reset_password.flash changed'
129             redirect_to :action => 'login'
130           end
131         end
132       else
133         flash[:notice] = t 'user.reset_password.flash token bad'
134         redirect_to :action => 'lost_password'
135       end
136     end
137   end
138
139   def new
140     @title = t 'user.new.title'
141
142     # The user is logged in already, so don't show them the signup page, instead
143     # send them to the home page
144     redirect_to :controller => 'site', :action => 'index' if session[:user]
145   end
146
147   def login
148     if params[:user] and session[:user].nil?
149       email_or_display_name = params[:user][:email]
150       pass = params[:user][:password]
151       user = User.authenticate(:username => email_or_display_name, :password => pass)
152       if user
153         session[:user] = user.id
154       elsif User.authenticate(:username => email_or_display_name, :password => pass, :inactive => true)
155         @notice = t 'user.login.account not active'
156       else
157         @notice = t 'user.login.auth failure'
158       end
159     end
160
161     if session[:user]
162       # The user is logged in, if the referer param exists, redirect them to that
163       # unless they've also got a block on them, in which case redirect them to
164       # the block so they can clear it.
165       user = User.find(session[:user])
166       block = user.blocked_on_view
167       if block
168         redirect_to block, :referrer => params[:referrer]
169       elsif params[:referer]
170         redirect_to params[:referer]
171       else
172         redirect_to :controller => 'site', :action => 'index'
173       end
174       return
175     end
176
177     @title = t 'user.login.title'
178   end
179
180   def logout
181     if session[:token]
182       token = UserToken.find_by_token(session[:token])
183       if token
184         token.destroy
185       end
186       session[:token] = nil
187     end
188     session[:user] = nil
189     if params[:referer]
190       redirect_to params[:referer]
191     else
192       redirect_to :controller => 'site', :action => 'index'
193     end
194   end
195
196   def confirm
197     if params[:confirm_action]
198       token = UserToken.find_by_token(params[:confirm_string])
199       if token and !token.user.active?
200         @user = token.user
201         @user.active = true
202         @user.email_valid = true
203         @user.save!
204         referer = token.referer
205         token.destroy
206         flash[:notice] = t 'user.confirm.success'
207         session[:user] = @user.id
208         unless referer.nil?
209           redirect_to referer
210         else
211           redirect_to :action => 'account', :display_name => @user.display_name
212         end
213       else
214         @notice = t 'user.confirm.failure'
215       end
216     end
217   end
218
219   def confirm_email
220     if params[:confirm_action]
221       token = UserToken.find_by_token(params[:confirm_string])
222       if token and token.user.new_email?
223         @user = token.user
224         @user.email = @user.new_email
225         @user.new_email = nil
226         @user.active = true
227         @user.email_valid = true
228         @user.save!
229         token.destroy
230         flash[:notice] = t 'user.confirm_email.success'
231         session[:user] = @user.id
232         redirect_to :action => 'account', :display_name => @user.display_name
233       else
234         @notice = t 'user.confirm_email.failure'
235       end
236     end
237   end
238
239   def upload_image
240     @user.image = params[:user][:image]
241     @user.save!
242     redirect_to :controller => 'user', :action => 'view', :display_name => @user.display_name
243   end
244
245   def delete_image
246     @user.image = nil
247     @user.save!
248     redirect_to :controller => 'user', :action => 'view', :display_name => @user.display_name
249   end
250
251   def api_gpx_files
252     doc = OSM::API.new.get_xml_doc
253     @user.traces.each do |trace|
254       doc.root << trace.to_xml_node() if trace.public? or trace.user == @user
255     end
256     render :text => doc.to_s, :content_type => "text/xml"
257   end
258
259   def view
260     @this_user = User.find_by_display_name(params[:display_name])
261
262     if @this_user and
263        (@this_user.visible? or (@user and @user.administrator?))
264       @title = @this_user.display_name
265     else
266       @title = t 'user.no_such_user.title'
267       @not_found_user = params[:display_name]
268       render :action => 'no_such_user', :status => :not_found
269     end
270   end
271
272   def make_friend
273     if params[:display_name]
274       name = params[:display_name]
275       new_friend = User.find_by_display_name(name, :conditions => {:visible => true})
276       friend = Friend.new
277       friend.user_id = @user.id
278       friend.friend_user_id = new_friend.id
279       unless @user.is_friends_with?(new_friend)
280         if friend.save
281           flash[:notice] = t 'user.make_friend.success', :name => name
282           Notifier.deliver_friend_notification(friend)
283         else
284           friend.add_error(t('user.make_friend.failed', :name => name))
285         end
286       else
287         flash[:notice] = t 'user.make_friend.already_a_friend', :name => name
288       end
289
290       redirect_to :controller => 'user', :action => 'view'
291     end
292   end
293
294   def remove_friend
295     if params[:display_name]
296       name = params[:display_name]
297       friend = User.find_by_display_name(name, :conditions => {:visible => true})
298       if @user.is_friends_with?(friend)
299         Friend.delete_all "user_id = #{@user.id} AND friend_user_id = #{friend.id}"
300         flash[:notice] = t 'user.remove_friend.success', :name => friend.display_name
301       else
302         flash[:notice] = t 'user.remove_friend.not_a_friend', :name => friend.display_name
303       end
304
305       redirect_to :controller => 'user', :action => 'view'
306     end
307   end
308
309   ##
310   # activate a user, allowing them to log in
311   def activate
312     @this_user.update_attributes(:active => true)
313     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
314   end
315
316   ##
317   # deactivate a user, preventing them from logging in
318   def deactivate
319     @this_user.update_attributes(:active => false)
320     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
321   end
322
323   ##
324   # hide a user, marking them as logically deleted
325   def hide
326     @this_user.update_attributes(:visible => false)
327     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
328   end
329
330   ##
331   # unhide a user, clearing the logically deleted flag
332   def unhide
333     @this_user.update_attributes(:visible => true)
334     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
335   end
336
337   ##
338   # delete a user, marking them as deleted and removing personal data
339   def delete
340     @this_user.delete
341     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
342   end
343 private
344   ##
345   # require that the user is a administrator, or fill out a helpful error message
346   # and return them to the user page.
347   def require_administrator
348     unless @user.administrator?
349       flash[:notice] = t('user.filter.not_an_administrator')
350       redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
351     end
352   end
353
354   ##
355   # ensure that there is a "this_user" instance variable
356   def lookup_this_user
357     @this_user = User.find_by_display_name(params[:display_name])
358   rescue ActiveRecord::RecordNotFound
359     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name] unless @this_user
360   end
361 end