app/controllers/user_controller.rb

   1 class UserController < ApplicationController
   2   layout 'site', :except => :api_details
   3
   4   before_filter :authorize, :only => [:api_details, :api_gpx_files]
   5   before_filter :authorize_web, :except => [:api_details, :api_gpx_files]
   6   before_filter :set_locale, :except => [:api_details, :api_gpx_files]
   7   before_filter :require_user, :only => [:account, :go_public, :make_friend, :remove_friend]
   8   before_filter :check_database_readable, :except => [:api_details, :api_gpx_files]
   9   before_filter :check_database_writable, :only => [:login, :new, :account, :go_public, :make_friend, :remove_friend]
  10   before_filter :check_api_readable, :only => [:api_details, :api_gpx_files]
  11   before_filter :require_allow_read_prefs, :only => [:api_details]
  12   before_filter :require_allow_read_gpx, :only => [:api_gpx_files]
  13   before_filter :require_cookies, :only => [:login, :confirm]
  14   before_filter :require_administrator, :only => [:activate, :deactivate, :confirm, :hide, :unhide, :delete]
  15   before_filter :lookup_this_user, :only => [:activate, :deactivate, :confirm, :hide, :unhide, :delete]
  16
  17   filter_parameter_logging :password, :pass_crypt, :pass_crypt_confirmation
  18
  19   cache_sweeper :user_sweeper, :only => [:account, :hide, :unhide, :delete]
  20
  21   def save
  22     @title = t 'user.new.title'
  23
  24     if Acl.find_by_address(request.remote_ip, :conditions => {:k => "no_account_creation"})
  25       render :action => 'new'
  26     else
  27       @user = User.new(params[:user])
  28
  29       @user.status = "pending"
  30       @user.data_public = true
  31       @user.description = "" if @user.description.nil?
  32       @user.creation_ip = request.remote_ip
  33       @user.languages = request.user_preferred_languages
  34
  35       if @user.save
  36         flash[:notice] = t 'user.new.flash create success message'
  37         Notifier.deliver_signup_confirm(@user, @user.tokens.create(:referer => params[:referer]))
  38         redirect_to :action => 'login'
  39       else
  40         render :action => 'new'
  41       end
  42     end
  43   end
  44
  45   def account
  46     @title = t 'user.account.title'
  47     @tokens = @user.oauth_tokens.find :all, :conditions => 'oauth_tokens.invalidated_at is null and oauth_tokens.authorized_at is not null'
  48
  49     if params[:user] and params[:user][:display_name] and params[:user][:description]
  50       @user.display_name = params[:user][:display_name]
  51       @user.new_email = params[:user][:new_email]
  52
  53       if params[:user][:pass_crypt].length > 0 or params[:user][:pass_crypt_confirmation].length > 0
  54         @user.pass_crypt = params[:user][:pass_crypt]
  55         @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
  56       end
  57
  58       @user.description = params[:user][:description]
  59       @user.languages = params[:user][:languages].split(",")
  60
  61       case params[:image_action]
  62         when "new" then @user.image = params[:user][:image]
  63         when "delete" then @user.image = nil
  64       end
  65
  66       @user.home_lat = params[:user][:home_lat]
  67       @user.home_lon = params[:user][:home_lon]
  68
  69       if @user.save
  70         set_locale
  71
  72         if @user.new_email.nil? or @user.new_email.empty?
  73           flash.now[:notice] = t 'user.account.flash update success'
  74         else
  75           flash.now[:notice] = t 'user.account.flash update success confirm needed'
  76
  77           begin
  78             Notifier.deliver_email_confirm(@user, @user.tokens.create)
  79           rescue
  80             # Ignore errors sending email
  81           end
  82         end
  83       end
  84     else
  85       if flash[:errors]
  86         flash[:errors].each do |attr,msg|
  87           attr = "new_email" if attr == "email"
  88           @user.errors.add(attr,msg)
  89         end
  90       end
  91     end
  92   end
  93
  94   def go_public
  95     @user.data_public = true
  96     @user.save
  97     flash[:notice] = t 'user.go_public.flash success'
  98     redirect_to :controller => 'user', :action => 'account', :display_name => @user.display_name
  99   end
 100
 101   def lost_password
 102     @title = t 'user.lost_password.title'
 103
 104     if params[:user] and params[:user][:email]
 105       user = User.find_by_email(params[:user][:email], :conditions => {:status => ["pending", "active", "confirmed"]})
 106
 107       if user
 108         token = user.tokens.create
 109         Notifier.deliver_lost_password(user, token)
 110         flash[:notice] = t 'user.lost_password.notice email on way'
 111         redirect_to :action => 'login'
 112       else
 113         flash.now[:error] = t 'user.lost_password.notice email cannot find'
 114       end
 115     end
 116   end
 117
 118   def reset_password
 119     @title = t 'user.reset_password.title'
 120
 121     if params[:token]
 122       token = UserToken.find_by_token(params[:token])
 123
 124       if token
 125         @user = token.user
 126
 127         if params[:user]
 128           @user.pass_crypt = params[:user][:pass_crypt]
 129           @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
 130           @user.status = "active"
 131           @user.email_valid = true
 132
 133           if @user.save
 134             token.destroy
 135             flash[:notice] = t 'user.reset_password.flash changed'
 136             redirect_to :action => 'login'
 137           end
 138         end
 139       else
 140         flash[:error] = t 'user.reset_password.flash token bad'
 141         redirect_to :action => 'lost_password'
 142       end
 143     end
 144   end
 145
 146   def new
 147     @title = t 'user.new.title'
 148
 149     # The user is logged in already, so don't show them the signup
 150     # page, instead send them to the home page
 151     redirect_to :controller => 'site', :action => 'index' if session[:user]
 152   end
 153
 154   def login
 155     @title = t 'user.login.title'
 156
 157     if params[:user]
 158       email_or_display_name = params[:user][:email]
 159       pass = params[:user][:password]
 160       user = User.authenticate(:username => email_or_display_name, :password => pass)
 161
 162       if user
 163         session[:user] = user.id
 164         session_expires_after 1.month if params[:remember_me]
 165
 166         # The user is logged in, if the referer param exists, redirect
 167         # them to that unless they've also got a block on them, in
 168         # which case redirect them to the block so they can clear it.
 169         if user.blocked_on_view
 170           redirect_to user.blocked_on_view, :referrer => params[:referrer]
 171         elsif params[:referer]
 172           redirect_to params[:referer]
 173         else
 174           redirect_to :controller => 'site', :action => 'index'
 175         end
 176        elsif User.authenticate(:username => email_or_display_name, :password => pass, :inactive => true)
 177         flash.now[:error] = t 'user.login.account not active'
 178       else
 179         flash.now[:error] = t 'user.login.auth failure'
 180       end
 181     end
 182   end
 183
 184   def logout
 185     @title = t 'user.logout.title'
 186
 187     if params[:session] == request.session_options[:id]
 188       if session[:token]
 189         token = UserToken.find_by_token(session[:token])
 190         if token
 191           token.destroy
 192         end
 193         session[:token] = nil
 194       end
 195       session[:user] = nil
 196       session_expires_automatically
 197       if params[:referer]
 198         redirect_to params[:referer]
 199       else
 200         redirect_to :controller => 'site', :action => 'index'
 201       end
 202     end
 203   end
 204
 205   def confirm
 206     if params[:confirm_action]
 207       token = UserToken.find_by_token(params[:confirm_string])
 208       if token and !token.user.active?
 209         @user = token.user
 210         @user.status = "active"
 211         @user.email_valid = true
 212         @user.save!
 213         referer = token.referer
 214         token.destroy
 215         flash[:notice] = t 'user.confirm.success'
 216         session[:user] = @user.id
 217         unless referer.nil?
 218           redirect_to referer
 219         else
 220           redirect_to :action => 'account', :display_name => @user.display_name
 221         end
 222       else
 223         flash.now[:error] = t 'user.confirm.failure'
 224       end
 225     end
 226   end
 227
 228   def confirm_email
 229     if params[:confirm_action]
 230       token = UserToken.find_by_token(params[:confirm_string])
 231       if token and token.user.new_email?
 232         @user = token.user
 233         @user.email = @user.new_email
 234         @user.new_email = nil
 235         @user.email_valid = true
 236         if @user.save
 237           flash[:notice] = t 'user.confirm_email.success'
 238         else
 239           flash[:errors] = @user.errors
 240         end
 241         token.destroy
 242         session[:user] = @user.id
 243         redirect_to :action => 'account', :display_name => @user.display_name
 244       else
 245         flash.now[:error] = t 'user.confirm_email.failure'
 246       end
 247     end
 248   end
 249
 250   def api_gpx_files
 251     doc = OSM::API.new.get_xml_doc
 252     @user.traces.each do |trace|
 253       doc.root << trace.to_xml_node() if trace.public? or trace.user == @user
 254     end
 255     render :text => doc.to_s, :content_type => "text/xml"
 256   end
 257
 258   def view
 259     @this_user = User.find_by_display_name(params[:display_name])
 260
 261     if @this_user and
 262        (@this_user.visible? or (@user and @user.administrator?))
 263       @title = @this_user.display_name
 264     else
 265       @title = t 'user.no_such_user.title'
 266       @not_found_user = params[:display_name]
 267       render :action => 'no_such_user', :status => :not_found
 268     end
 269   end
 270
 271   def make_friend
 272     if params[:display_name]
 273       name = params[:display_name]
 274       new_friend = User.find_by_display_name(name, :conditions => {:status => ["active", "confirmed"]})
 275       friend = Friend.new
 276       friend.user_id = @user.id
 277       friend.friend_user_id = new_friend.id
 278       unless @user.is_friends_with?(new_friend)
 279         if friend.save
 280           flash[:notice] = t 'user.make_friend.success', :name => name
 281           Notifier.deliver_friend_notification(friend)
 282         else
 283           friend.add_error(t('user.make_friend.failed', :name => name))
 284         end
 285       else
 286         flash[:warning] = t 'user.make_friend.already_a_friend', :name => name
 287       end
 288
 289       if params[:referer]
 290         redirect_to params[:referer]
 291       else
 292         redirect_to :controller => 'user', :action => 'view'
 293       end
 294     end
 295   end
 296
 297   def remove_friend
 298     if params[:display_name]
 299       name = params[:display_name]
 300       friend = User.find_by_display_name(name, :conditions => {:status => ["active", "confirmed"]})
 301       if @user.is_friends_with?(friend)
 302         Friend.delete_all "user_id = #{@user.id} AND friend_user_id = #{friend.id}"
 303         flash[:notice] = t 'user.remove_friend.success', :name => friend.display_name
 304       else
 305         flash[:error] = t 'user.remove_friend.not_a_friend', :name => friend.display_name
 306       end
 307
 308       if params[:referer]
 309         redirect_to params[:referer]
 310       else
 311         redirect_to :controller => 'user', :action => 'view'
 312       end
 313     end
 314   end
 315
 316   ##
 317   # activate a user, allowing them to log in
 318   def activate
 319     @this_user.update_attributes(:status => "active")
 320     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 321   end
 322
 323   ##
 324   # deactivate a user, preventing them from logging in
 325   def deactivate
 326     @this_user.update_attributes(:status => "pending")
 327     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 328   end
 329
 330   ##
 331   # confirm a user, overriding any suspension triggered by spam scoring
 332   def confirm
 333     @this_user.update_attributes(:status => "confirmed")
 334     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 335   end
 336
 337   ##
 338   # hide a user, marking them as logically deleted
 339   def hide
 340     @this_user.update_attributes(:status => "deleted")
 341     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 342   end
 343
 344   ##
 345   # unhide a user, clearing the logically deleted flag
 346   def unhide
 347     @this_user.update_attributes(:status => "active")
 348     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 349   end
 350
 351   ##
 352   # delete a user, marking them as deleted and removing personal data
 353   def delete
 354     @this_user.delete
 355     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 356   end
 357 private
 358   ##
 359   # require that the user is a administrator, or fill out a helpful error message
 360   # and return them to the user page.
 361   def require_administrator
 362     unless @user.administrator?
 363       flash[:error] = t('user.filter.not_an_administrator')
 364       redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
 365     end
 366   end
 367
 368   ##
 369   # ensure that there is a "this_user" instance variable
 370   def lookup_this_user
 371     @this_user = User.find_by_display_name(params[:display_name])
 372   rescue ActiveRecord::RecordNotFound
 373     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name] unless @this_user
 374   end
 375 end