]> git.openstreetmap.org Git - rails.git/blob - test/functional/user_controller_test.rb
projects / rails.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Get rid of custom CSRF protection for user role changes
[rails.git] / test / functional / user_controller_test.rb
1 require File.dirname(__FILE__) + '/../test_helper'
2
3 class UserControllerTest < ActionController::TestCase
4   fixtures :users
5   
6   ##
7   # test all routes which lead to this controller
8   def test_routes
9     assert_routing(
10       { :path => "/api/0.6/user/details", :method => :get },
11       { :controller => "user", :action => "api_details" }
12     )
13     assert_routing(
14       { :path => "/api/0.6/user/gpx_files", :method => :get },
15       { :controller => "user", :action => "api_gpx_files" }
16     )
17
18     assert_routing(
19       { :path => "/login", :method => :get },
20       { :controller => "user", :action => "login" }
21     )
22     assert_routing(
23       { :path => "/login", :method => :post },
24       { :controller => "user", :action => "login" }
25     )
26     assert_recognizes(
27       { :controller => "user", :action => "login", :format => "html" },
28       { :path => "/login.html", :method => :get }
29     )
30
31     assert_routing(
32       { :path => "/logout", :method => :get },
33       { :controller => "user", :action => "logout" }
34     )
35     assert_routing(
36       { :path => "/logout", :method => :post },
37       { :controller => "user", :action => "logout" }
38     )
39     assert_recognizes(
40       { :controller => "user", :action => "logout", :format => "html" },
41       { :path => "/logout.html", :method => :get }
42     )
43
44     assert_routing(
45       { :path => "/user/new", :method => :get },
46       { :controller => "user", :action => "new" }
47     )
48     assert_recognizes(
49       { :controller => "user", :action => "new" },
50       { :path => "/create-account.html", :method => :get }
51     )
52
53     assert_routing(
54       { :path => "/user/terms", :method => :get },
55       { :controller => "user", :action => "terms" }
56     )
57     assert_routing(
58       { :path => "/user/terms", :method => :post },
59       { :controller => "user", :action => "terms" }
60     )
61
62     assert_routing(
63       { :path => "/user/save", :method => :post },
64       { :controller => "user", :action => "save" }
65     )
66
67     assert_routing(
68       { :path => "/user/username/confirm", :method => :get },
69       { :controller => "user", :action => "confirm", :display_name => "username" }
70     )
71     assert_routing(
72       { :path => "/user/username/confirm", :method => :post },
73       { :controller => "user", :action => "confirm", :display_name => "username" }
74     )
75     assert_routing(
76       { :path => "/user/username/confirm/resend", :method => :get },
77       { :controller => "user", :action => "confirm_resend", :display_name => "username" }
78     )
79
80     assert_routing(
81       { :path => "/user/confirm", :method => :get },
82       { :controller => "user", :action => "confirm" }
83     )
84     assert_routing(
85       { :path => "/user/confirm", :method => :post },
86       { :controller => "user", :action => "confirm" }
87     )
88     assert_routing(
89       { :path => "/user/confirm-email", :method => :get },
90       { :controller => "user", :action => "confirm_email" }
91     )
92     assert_routing(
93       { :path => "/user/confirm-email", :method => :post },
94       { :controller => "user", :action => "confirm_email" }
95     )
96
97     assert_routing(
98       { :path => "/user/go_public", :method => :post },
99       { :controller => "user", :action => "go_public" }
100     )
101
102     assert_routing(
103       { :path => "/user/forgot-password", :method => :get },
104       { :controller => "user", :action => "lost_password" }
105     )
106     assert_routing(
107       { :path => "/user/forgot-password", :method => :post },
108       { :controller => "user", :action => "lost_password" }
109     )
110     assert_recognizes(
111       { :controller => "user", :action => "lost_password" },
112       { :path => "/forgot-password.html", :method => :get }
113     )
114     assert_routing(
115       { :path => "/user/reset-password", :method => :get },
116       { :controller => "user", :action => "reset_password" }
117     )
118     assert_routing(
119       { :path => "/user/reset-password", :method => :post },
120       { :controller => "user", :action => "reset_password" }
121     )
122
123     assert_routing(
124       { :path => "/user/suspended", :method => :get },
125       { :controller => "user", :action => "suspended" }
126     )
127
128     assert_routing(
129       { :path => "/user/username", :method => :get },
130       { :controller => "user", :action => "view", :display_name => "username" }
131     )
132
133     assert_routing(
134       { :path => "/user/username/account", :method => :get },
135       { :controller => "user", :action => "account", :display_name => "username" }
136     )
137     assert_routing(
138       { :path => "/user/username/account", :method => :post },
139       { :controller => "user", :action => "account", :display_name => "username" }
140     )
141
142     assert_routing(
143       { :path => "/user/username/make_friend", :method => :get },
144       { :controller => "user", :action => "make_friend", :display_name => "username" }
145     )
146     assert_routing(
147       { :path => "/user/username/remove_friend", :method => :get },
148       { :controller => "user", :action => "remove_friend", :display_name => "username" }
149     )
150
151     assert_routing(
152       { :path => "/user/username/set_status", :method => :get },
153       { :controller => "user", :action => "set_status", :display_name => "username" }
154     )
155     assert_routing(
156       { :path => "/user/username/delete", :method => :get },
157       { :controller => "user", :action => "delete", :display_name => "username" }
158     )
159
160     assert_routing(
161       { :path => "/users", :method => :get },
162       { :controller => "user", :action => "list" }
163     )
164     assert_routing(
165       { :path => "/users", :method => :post },
166       { :controller => "user", :action => "list" }
167     )
168     assert_routing(
169       { :path => "/users/status", :method => :get },
170       { :controller => "user", :action => "list", :status => "status" }
171     )
172     assert_routing(
173       { :path => "/users/status", :method => :post },
174       { :controller => "user", :action => "list", :status => "status" }
175     )
176   end
177
178   # The user creation page loads
179   def test_user_create_view
180     get :new
181     assert_response :success
182     
183     assert_select "html", :count => 1 do
184       assert_select "head", :count => 1 do
185         assert_select "title", :text => /Create account/, :count => 1
186       end
187       assert_select "body", :count => 1 do
188         assert_select "div#content", :count => 1 do
189           assert_select "form[action='/user/terms'][method=post]", :count => 1 do
190             assert_select "input[id=user_email]", :count => 1
191             assert_select "input[id=user_email_confirmation]", :count => 1
192             assert_select "input[id=user_display_name]", :count => 1
193             assert_select "input[id=user_pass_crypt][type=password]", :count => 1
194             assert_select "input[id=user_pass_crypt_confirmation][type=password]", :count => 1
195             assert_select "input[type=submit][value=Continue]", :count => 1
196           end
197         end
198       end
199     end
200   end
201   
202   def test_user_create_success
203     new_email = "newtester@osm.org"
204     display_name = "new_tester"
205     assert_difference('User.count') do
206       assert_difference('ActionMailer::Base.deliveries.size') do
207         post :save, {:user => { :email => new_email, :email_confirmation => new_email, :display_name => display_name, :pass_crypt => "testtest", :pass_crypt_confirmation => "testtest"}}
208       end
209     end
210       
211     # Check the e-mail
212     register_email = ActionMailer::Base.deliveries.first
213   
214     assert_equal register_email.to[0], new_email
215     assert_match /#{@url}/, register_email.body
216
217     # Check the page
218     assert_redirected_to :action => 'login', :referer => nil
219       
220     ActionMailer::Base.deliveries.clear
221   end
222   
223   def test_user_create_submit_duplicate_email
224     email = users(:public_user).email
225     display_name = "new_tester"
226     assert_difference('User.count', 0) do
227       assert_difference('ActionMailer::Base.deliveries.size', 0) do
228         post :save, :user => { :email => email, :email_confirmation => email, :display_name => display_name, :pass_crypt => "testtest", :pass_crypt_confirmation => "testtest"}
229       end
230     end
231     assert_response :success                                                                       
232     assert_template 'new'
233     assert_select "div#errorExplanation"
234     assert_select "table#signupForm > tr > td > div[class=field_with_errors] > input#user_email"
235   end
236   
237   def test_user_create_submit_duplicate_email_uppercase
238     email = users(:public_user).email.upcase
239     display_name = "new_tester"
240     assert_difference('User.count', 0) do
241       assert_difference('ActionMailer::Base.deliveries.size', 0) do
242         post :save, :user => { :email => email, :email_confirmation => email, :display_name => display_name, :pass_crypt => "testtest", :pass_crypt_confirmation => "testtest"}
243       end
244     end
245     assert_response :success                                                                       
246     assert_template 'new'
247     assert_select "div#errorExplanation"
248     assert_select "table#signupForm > tr > td > div[class=field_with_errors] > input#user_email"
249   end
250     
251   def test_user_create_submit_duplicate_name
252     email = "new_tester@example.com"
253     display_name = users(:public_user).display_name
254     assert_difference('User.count', 0) do
255       assert_difference('ActionMailer::Base.deliveries.size', 0) do
256         post :save, :user => { :email => email, :email_confirmation => email, :display_name => display_name, :pass_crypt => "testtest", :pass_crypt_confirmation => "testtest"}
257       end
258     end
259     assert_response :success                                                                       
260     assert_template 'new'
261     assert_select "div#errorExplanation"
262     assert_select "table#signupForm > tr > td > div[class=field_with_errors] > input#user_display_name"
263   end
264   
265   def test_user_create_submit_duplicate_name_uppercase
266     email = "new_tester@example.com"
267     display_name = users(:public_user).display_name.upcase
268     assert_difference('User.count', 0) do
269       assert_difference('ActionMailer::Base.deliveries.size', 0) do
270         post :save, :user => { :email => email, :email_confirmation => email, :display_name => display_name, :pass_crypt => "testtest", :pass_crypt_confirmation => "testtest"}
271       end
272     end
273     assert_response :success                                                                       
274     assert_template 'new'
275     assert_select "div#errorExplanation"
276     assert_select "table#signupForm > tr > td > div[class=field_with_errors] > input#user_display_name"
277   end
278
279   def test_user_lost_password
280     # Test fetching the lost password page
281     get :lost_password
282     assert_response :success
283     assert_template :lost_password
284     assert_select "div#notice", false
285
286     # Test resetting using the address as recorded for a user that has an
287     # address which is duplicated in a different case by another user
288     assert_difference('ActionMailer::Base.deliveries.size', 1) do
289       post :lost_password, :user => { :email => users(:normal_user).email }
290     end
291     assert_response :redirect
292     assert_redirected_to :action => :login
293     assert_match /^Sorry you lost it/, flash[:notice]
294     assert_equal users(:normal_user).email, ActionMailer::Base.deliveries.last.to[0]
295
296     # Test resetting using an address that matches a different user
297     # that has the same address in a different case
298     assert_difference('ActionMailer::Base.deliveries.size', 1) do
299       post :lost_password, :user => { :email => users(:normal_user).email.upcase }
300     end
301     assert_response :redirect
302     assert_redirected_to :action => :login
303     assert_match /^Sorry you lost it/, flash[:notice]
304     assert_equal users(:uppercase_user).email, ActionMailer::Base.deliveries.last.to[0]
305
306     # Test resetting using an address that is a case insensitive match
307     # for more than one user but not an exact match for either
308     assert_difference('ActionMailer::Base.deliveries.size', 0) do
309       post :lost_password, :user => { :email => users(:normal_user).email.titlecase }
310     end
311     assert_response :success
312     assert_template :lost_password
313     assert_select "div#error", /^Could not find that email address/
314
315     # Test resetting using the address as recorded for a user that has an
316     # address which is case insensitively unique
317     assert_difference('ActionMailer::Base.deliveries.size', 1) do
318       post :lost_password, :user => { :email => users(:public_user).email }
319     end
320     assert_response :redirect
321     assert_redirected_to :action => :login
322     assert_match /^Sorry you lost it/, flash[:notice]
323     assert_equal users(:public_user).email, ActionMailer::Base.deliveries.last.to[0]
324
325     # Test resetting using an address that matches a user that has the
326     # same (case insensitively unique) address in a different case
327     assert_difference('ActionMailer::Base.deliveries.size', 1) do
328       post :lost_password, :user => { :email => users(:public_user).email.upcase }
329     end
330     assert_response :redirect
331     assert_redirected_to :action => :login
332     assert_match /^Sorry you lost it/, flash[:notice]
333     assert_equal users(:public_user).email, ActionMailer::Base.deliveries.last.to[0]
334   end
335
336   def test_user_update
337     # Get a user to work with - note that this user deliberately
338     # conflicts with uppercase_user in the email and display name
339     # fields to test that we can change other fields without any
340     # validation errors being reported
341     user = users(:normal_user)
342
343     # Set the username cookie
344     @request.cookies["_osm_username"] = user.display_name
345
346     # Make sure that you are redirected to the login page when
347     # you are not logged in
348     get :account, { :display_name => user.display_name }
349     assert_response :redirect
350     assert_redirected_to :controller => :user, :action => "login", :referer => "/user/test/account"
351
352     # Make sure that you are redirected to the login page when
353     # you are not logged in as the right user
354     get :account, { :display_name => user.display_name }, { "user" => users(:public_user).id }
355     assert_response :redirect
356     assert_redirected_to :controller => :user, :action => "login", :referer => "/user/test/account"
357
358     # Make sure we get the page when we are logged in as the right user
359     get :account, { :display_name => user.display_name }, { "user" => user }
360     assert_response :success
361     assert_template :account
362
363     # Updating the description should work
364     user.description = "new description"
365     post :account, { :display_name => user.display_name, :user => user.attributes }, { "user" => user.id }
366     assert_response :success
367     assert_template :account
368     assert_select "div#errorExplanation", false
369     assert_select "div#notice", /^User information updated successfully/
370     assert_select "table#accountForm > tr > td > div#user_description_container > div#user_description_content > textarea#user_description", user.description
371
372     # Changing name to one that exists should fail
373     user.display_name = users(:public_user).display_name
374     post :account, { :display_name => user.display_name, :user => user.attributes }, { "user" => user.id }
375     assert_response :success
376     assert_template :account
377     assert_select "div#notice", false
378     assert_select "div#errorExplanation"
379     assert_select "table#accountForm > tr > td > div[class=field_with_errors] > input#user_display_name"
380
381     # Changing name to one that exists should fail, regardless of case
382     user.display_name = users(:public_user).display_name.upcase
383     post :account, { :display_name => user.display_name, :user => user.attributes }, { "user" => user.id }
384     assert_response :success
385     assert_template :account
386     assert_select "div#notice", false
387     assert_select "div#errorExplanation"
388     assert_select "table#accountForm > tr > td > div[class=field_with_errors] > input#user_display_name"
389
390     # Changing name to one that doesn't exist should work
391     user.display_name = "new tester"
392     post :account, { :display_name => user.display_name, :user => user.attributes }, { "user" => user.id }
393     assert_response :success
394     assert_template :account
395     assert_select "div#errorExplanation", false
396     assert_select "div#notice", /^User information updated successfully/
397     assert_select "table#accountForm > tr > td > input#user_display_name[value=?]", user.display_name
398
399     # Need to update cookies now to stay valid
400     @request.cookies["_osm_username"] = user.display_name
401
402     # Changing email to one that exists should fail
403     user.new_email = users(:public_user).email
404     post :account, { :display_name => user.display_name, :user => user.attributes }, { "user" => user.id }
405     assert_response :success
406     assert_template :account
407     assert_select "div#notice", false
408     assert_select "div#errorExplanation"
409     assert_select "table#accountForm > tr > td > div[class=field_with_errors] > input#user_new_email"
410
411     # Changing email to one that exists should fail, regardless of case
412     user.new_email = users(:public_user).email.upcase
413     post :account, { :display_name => user.display_name, :user => user.attributes }, { "user" => user.id }
414     assert_response :success
415     assert_template :account
416     assert_select "div#notice", false
417     assert_select "div#errorExplanation"
418     assert_select "table#accountForm > tr > td > div[class=field_with_errors] > input#user_new_email"
419
420     # Changing email to one that doesn't exist should work
421     user.new_email = "new_tester@example.com"
422     post :account, { :display_name => user.display_name, :user => user.attributes }, { "user" => user.id }
423     assert_response :success
424     assert_template :account
425     assert_select "div#errorExplanation", false
426     assert_select "div#notice", /^User information updated successfully/
427     assert_select "table#accountForm > tr > td > input#user_new_email[value=?]", user.new_email
428   end
429   
430   # Check that the user account page will display and contains some relevant
431   # information for the user
432   def test_view_user_account
433     get :view, {:display_name => "unknown"}
434     assert_response :not_found
435     
436     get :view, {:display_name => "test"}
437     assert_response :success
438   end
439   
440   def test_user_api_details
441     get :api_details
442     assert_response :unauthorized
443     
444     basic_authorization(users(:normal_user).email, "test")
445     get :api_details
446     assert_response :success
447   end
448 end
The OpenStreetMap web site