b1fb9c5b8e41b01368f60e9485d15abff7be4ad7
[rails.git] / app / controllers / user_controller.rb
1 class UserController < ApplicationController
2   layout 'site', :except => :api_details
3
4   before_filter :authorize, :only => [:api_details, :api_gpx_files]
5   before_filter :authorize_web, :except => [:api_details, :api_gpx_files]
6   before_filter :set_locale, :except => [:api_details, :api_gpx_files]
7   before_filter :require_user, :only => [:account, :go_public, :make_friend, :remove_friend]
8   before_filter :check_database_readable, :except => [:api_details, :api_gpx_files]
9   before_filter :check_database_writable, :only => [:login, :new, :account, :go_public, :make_friend, :remove_friend]
10   before_filter :check_api_readable, :only => [:api_details, :api_gpx_files]
11   before_filter :require_allow_read_prefs, :only => [:api_details]
12   before_filter :require_allow_read_gpx, :only => [:api_gpx_files]
13   before_filter :require_cookies, :only => [:login, :confirm]
14   before_filter :require_administrator, :only => [:set_status, :delete, :list]
15   before_filter :lookup_this_user, :only => [:set_status, :delete]
16
17   filter_parameter_logging :password, :pass_crypt, :pass_crypt_confirmation
18
19   cache_sweeper :user_sweeper, :only => [:account, :set_status, :delete], :unless => STATUS == :database_offline
20
21   def terms
22     @legale = params[:legale] || OSM.IPToCountry(request.remote_ip) || DEFAULT_LEGALE
23     @text = OSM.legal_text_for_country(@legale)
24
25     if request.xhr?
26       render :update do |page|
27         page.replace_html "contributorTerms", :partial => "terms"
28       end
29     else
30       @title = t 'user.terms.title'
31       @user = User.new(params[:user]) if params[:user]
32
33       if @user
34         if @user.invalid?
35           if @user.new_record?
36             render :action => :new
37           else
38             flash[:errors] = @user.errors
39             redirect_to :action => :account, :display_name => @user.display_name
40           end
41         elsif @user.terms_agreed?
42           redirect_to :action => :account, :display_name => @user.display_name
43         end
44       else
45         redirect_to :action => :login, :referer => request.request_uri
46       end
47     end
48   end
49
50   def save
51     @title = t 'user.new.title'
52
53     if Acl.find_by_address(request.remote_ip, :conditions => {:k => "no_account_creation"})
54       render :action => 'new'
55     elsif params[:decline]
56       @user.terms_seen = true
57       @user.save
58       redirect_to t('user.terms.declined')
59     elsif @user
60       if !@user.terms_agreed?
61         @user.consider_pd = params[:user][:consider_pd]
62         @user.terms_agreed = Time.now.getutc
63         @user.terms_seen = true
64         if @user.save
65           flash[:notice] = t 'user.new.terms accepted'
66         end
67       end
68
69       redirect_to :action => :account, :display_name => @user.display_name
70     else
71       @user = User.new(params[:user])
72
73       @user.status = "pending"
74       @user.data_public = true
75       @user.description = "" if @user.description.nil?
76       @user.creation_ip = request.remote_ip
77       @user.languages = request.user_preferred_languages
78       @user.terms_agreed = Time.now.getutc
79       @user.terms_seen = true
80       
81       if @user.save
82         flash[:notice] = t 'user.new.flash create success message', :email => @user.email
83         Notifier.deliver_signup_confirm(@user, @user.tokens.create(:referer => params[:referer]))
84         session[:token] = @user.tokens.create.token
85         redirect_to :action => 'login'
86       else
87         render :action => 'new'
88       end
89     end
90   end
91
92   def account
93     @title = t 'user.account.title'
94     @tokens = @user.oauth_tokens.find :all, :conditions => 'oauth_tokens.invalidated_at is null and oauth_tokens.authorized_at is not null'
95
96     if params[:user] and params[:user][:display_name] and params[:user][:description]
97       @user.display_name = params[:user][:display_name]
98       @user.new_email = params[:user][:new_email]
99
100       if params[:user][:pass_crypt].length > 0 or params[:user][:pass_crypt_confirmation].length > 0
101         @user.pass_crypt = params[:user][:pass_crypt]
102         @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
103       end
104
105       @user.description = params[:user][:description]
106       @user.languages = params[:user][:languages].split(",")
107
108       case params[:image_action]
109         when "new" then @user.image = params[:user][:image]
110         when "delete" then @user.image = nil
111       end
112
113       @user.home_lat = params[:user][:home_lat]
114       @user.home_lon = params[:user][:home_lon]
115
116       if params[:user][:preferred_editor] == "default"
117         @user.preferred_editor = nil
118       else
119         @user.preferred_editor = params[:user][:preferred_editor]
120       end
121
122       if @user.save
123         set_locale
124
125         if @user.new_email.nil? or @user.new_email.empty?
126           flash[:notice] = t 'user.account.flash update success'
127         else
128           flash[:notice] = t 'user.account.flash update success confirm needed'
129
130           begin
131             Notifier.deliver_email_confirm(@user, @user.tokens.create)
132           rescue
133             # Ignore errors sending email
134           end
135         end
136
137         redirect_to :action => "account", :display_name => @user.display_name
138       end
139     else
140       if flash[:errors]
141         flash[:errors].each do |attr,msg|
142           attr = "new_email" if attr == "email" and !@user.new_email.nil?
143           @user.errors.add(attr,msg)
144         end
145       end
146     end
147   end
148
149   def go_public
150     @user.data_public = true
151     @user.save
152     flash[:notice] = t 'user.go_public.flash success'
153     redirect_to :controller => 'user', :action => 'account', :display_name => @user.display_name
154   end
155
156   def lost_password
157     @title = t 'user.lost_password.title'
158
159     if params[:user] and params[:user][:email]
160       user = User.find_by_email(params[:user][:email], :conditions => {:status => ["pending", "active", "confirmed"]})
161
162       if user
163         token = user.tokens.create
164         Notifier.deliver_lost_password(user, token)
165         flash[:notice] = t 'user.lost_password.notice email on way'
166         redirect_to :action => 'login'
167       else
168         flash.now[:error] = t 'user.lost_password.notice email cannot find'
169       end
170     end
171   end
172
173   def reset_password
174     @title = t 'user.reset_password.title'
175
176     if params[:token]
177       token = UserToken.find_by_token(params[:token])
178
179       if token
180         @user = token.user
181
182         if params[:user]
183           @user.pass_crypt = params[:user][:pass_crypt]
184           @user.pass_crypt_confirmation = params[:user][:pass_crypt_confirmation]
185           @user.status = "active" if @user.status == "pending"
186           @user.email_valid = true
187
188           if @user.save
189             token.destroy
190             flash[:notice] = t 'user.reset_password.flash changed'
191             redirect_to :action => 'login'
192           end
193         end
194       else
195         flash[:error] = t 'user.reset_password.flash token bad'
196         redirect_to :action => 'lost_password'
197       end
198     end
199   end
200
201   def new
202     @title = t 'user.new.title'
203
204     # The user is logged in already, so don't show them the signup
205     # page, instead send them to the home page
206     redirect_to :controller => 'site', :action => 'index' if session[:user]
207   end
208
209   def login
210     @title = t 'user.login.title'
211
212     if params[:user]
213       email_or_display_name = params[:user][:email]
214       pass = params[:user][:password]
215       user = User.authenticate(:username => email_or_display_name, :password => pass)
216
217       if user
218         session[:user] = user.id
219         session_expires_after 1.month if params[:remember_me]
220
221         # The user is logged in, so decide where to send them:
222         #
223         # - If they haven't seen the contributor terms, send them there.
224         # - If they have a block on them, show them that.
225         # - If they were referred to the login, send them back there.
226         # - Otherwise, send them to the home page.
227         if REQUIRE_TERMS_SEEN and not user.terms_seen
228           redirect_to :controller => 'user', :action => 'terms', :referer => params[:referer]
229         elsif user.blocked_on_view
230           redirect_to user.blocked_on_view, :referer => params[:referer]
231         elsif params[:referer]
232           redirect_to params[:referer]
233         else
234           redirect_to :controller => 'site', :action => 'index'
235         end
236       elsif user = User.authenticate(:username => email_or_display_name, :password => pass, :pending => true)
237         flash.now[:error] = t 'user.login.account not active', :reconfirm => url_for(:action => 'confirm_resend', :display_name => user.display_name)
238       elsif User.authenticate(:username => email_or_display_name, :password => pass, :suspended => true)
239         webmaster = link_to t('user.login.webmaster'), "mailto:webmaster@openstreetmap.org"
240         flash.now[:error] = t 'user.login.account suspended', :webmaster => webmaster
241       else
242         flash.now[:error] = t 'user.login.auth failure'
243       end
244     elsif flash[:notice].nil?
245       flash.now[:notice] =  t 'user.login.notice'
246     end
247   end
248
249   def logout
250     @title = t 'user.logout.title'
251
252     if params[:session] == request.session_options[:id]
253       if session[:token]
254         token = UserToken.find_by_token(session[:token])
255         if token
256           token.destroy
257         end
258         session[:token] = nil
259       end
260       session[:user] = nil
261       session_expires_automatically
262       if params[:referer]
263         redirect_to params[:referer]
264       else
265         redirect_to :controller => 'site', :action => 'index'
266       end
267     end
268   end
269
270   def confirm
271     if request.post?
272       if token = UserToken.find_by_token(params[:confirm_string])
273         if token.user.active?
274           flash[:error] = t('user.confirm.already active')
275           redirect_to :action => 'login'
276         else
277           user = token.user
278           user.status = "active"
279           user.email_valid = true
280           user.save!
281           referer = token.referer
282           token.destroy
283
284           if session[:token] 
285             token = UserToken.find_by_token(session[:token])
286             session.delete(:token)
287           else
288             token = nil
289           end
290
291           if token.nil? or token.user != user
292             flash[:notice] = t('user.confirm.success')
293             redirect_to :action => :login, :referer => referer
294           else
295             token.destroy
296
297             session[:user] = user.id
298
299             if referer.nil?
300               flash[:notice] = t('user.confirm.success') + "<br /><br />" + t('user.confirm.before you start')
301               redirect_to :action => :account, :display_name => user.display_name
302             else
303               flash[:notice] = t('user.confirm.success')
304               redirect_to referer
305             end
306           end
307         end
308       else
309         user = User.find_by_display_name(params[:display_name])
310
311         if user and user.active?
312           flash[:error] = t('user.confirm.already active')
313         elsif user
314           flash[:error] = t('user.confirm.unknown token') + t('user.confirm.reconfirm', :reconfirm => url_for(:action => 'confirm_resend', :display_name => params[:display_name]))
315         else
316           flash[:error] = t('user.confirm.unknown token')
317         end
318
319         redirect_to :action => 'login'
320       end
321     end
322   end
323
324   def confirm_resend
325     if user = User.find_by_display_name(params[:display_name])
326       Notifier.deliver_signup_confirm(user, user.tokens.create)
327       flash[:notice] = t 'user.confirm_resend.success', :email => user.email
328     else
329       flash[:notice] = t 'user.confirm_resend.failure', :name => params[:display_name]
330     end
331
332     redirect_to :action => 'login'
333   end
334
335   def confirm_email
336     if request.post?
337       token = UserToken.find_by_token(params[:confirm_string])
338       if token and token.user.new_email?
339         @user = token.user
340         @user.email = @user.new_email
341         @user.new_email = nil
342         @user.email_valid = true
343         if @user.save
344           flash[:notice] = t 'user.confirm_email.success'
345         else
346           flash[:errors] = @user.errors
347         end
348         token.destroy
349         session[:user] = @user.id
350         redirect_to :action => 'account', :display_name => @user.display_name
351       else
352         flash[:error] = t 'user.confirm_email.failure'
353         redirect_to :action => 'account', :display_name => @user.display_name
354       end
355     end
356   end
357
358   def api_gpx_files
359     doc = OSM::API.new.get_xml_doc
360     @user.traces.each do |trace|
361       doc.root << trace.to_xml_node() if trace.public? or trace.user == @user
362     end
363     render :text => doc.to_s, :content_type => "text/xml"
364   end
365
366   def view
367     @this_user = User.find_by_display_name(params[:display_name])
368
369     if @this_user and
370        (@this_user.visible? or (@user and @user.administrator?))
371       @title = @this_user.display_name
372     else
373       @title = t 'user.no_such_user.title'
374       @not_found_user = params[:display_name]
375       render :action => 'no_such_user', :status => :not_found
376     end
377   end
378
379   def make_friend
380     if params[:display_name]
381       name = params[:display_name]
382       new_friend = User.find_by_display_name(name, :conditions => {:status => ["active", "confirmed"]})
383       friend = Friend.new
384       friend.user_id = @user.id
385       friend.friend_user_id = new_friend.id
386       unless @user.is_friends_with?(new_friend)
387         if friend.save
388           flash[:notice] = t 'user.make_friend.success', :name => name
389           Notifier.deliver_friend_notification(friend)
390         else
391           friend.add_error(t('user.make_friend.failed', :name => name))
392         end
393       else
394         flash[:warning] = t 'user.make_friend.already_a_friend', :name => name
395       end
396
397       if params[:referer]
398         redirect_to params[:referer]
399       else
400         redirect_to :controller => 'user', :action => 'view'
401       end
402     end
403   end
404
405   def remove_friend
406     if params[:display_name]
407       name = params[:display_name]
408       friend = User.find_by_display_name(name, :conditions => {:status => ["active", "confirmed"]})
409       if @user.is_friends_with?(friend)
410         Friend.delete_all "user_id = #{@user.id} AND friend_user_id = #{friend.id}"
411         flash[:notice] = t 'user.remove_friend.success', :name => friend.display_name
412       else
413         flash[:error] = t 'user.remove_friend.not_a_friend', :name => friend.display_name
414       end
415
416       if params[:referer]
417         redirect_to params[:referer]
418       else
419         redirect_to :controller => 'user', :action => 'view'
420       end
421     end
422   end
423
424   ##
425   # sets a user's status
426   def set_status
427     @this_user.update_attributes(:status => params[:status])
428     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
429   end
430
431   ##
432   # delete a user, marking them as deleted and removing personal data
433   def delete
434     @this_user.delete
435     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
436   end
437
438   ##
439   # display a list of users matching specified criteria
440   def list
441     if request.post?
442       ids = params[:user].keys.collect { |id| id.to_i }
443
444       User.update_all("status = 'confirmed'", :id => ids) if params[:confirm]
445       User.update_all("status = 'deleted'", :id => ids) if params[:hide]
446
447       redirect_to url_for(:status => params[:status], :ip => params[:ip], :page => params[:page])
448     else
449       conditions = Hash.new
450       conditions[:status] = params[:status] if params[:status]
451       conditions[:creation_ip] = params[:ip] if params[:ip]
452
453       @user_pages, @users = paginate(:users,
454                                      :conditions => conditions,
455                                      :order => :id,
456                                      :per_page => 50)
457     end
458   end
459
460 private
461
462   ##
463   # require that the user is a administrator, or fill out a helpful error message
464   # and return them to the user page.
465   def require_administrator
466     if @user and not @user.administrator?
467       flash[:error] = t('user.filter.not_an_administrator')
468
469       if params[:display_name]
470         redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name]
471       else
472         redirect_to :controller => 'user', :action => 'login', :referer => request.request_uri
473       end
474     elsif not @user
475       redirect_to :controller => 'user', :action => 'login', :referer => request.request_uri
476     end
477   end
478
479   ##
480   # ensure that there is a "this_user" instance variable
481   def lookup_this_user
482     @this_user = User.find_by_display_name(params[:display_name])
483   rescue ActiveRecord::RecordNotFound
484     redirect_to :controller => 'user', :action => 'view', :display_name => params[:display_name] unless @this_user
485   end
486 end