apply patch from TomH for #477 and dont require http auth on GET to the API.

[rails.git] / app / controllers / application.rb
diff --git a/app/controllers/application.rb b/app/controllers/application.rb

index d15604c751209bf140f0affde1a8e9b8c13dbbbb..52aeff3cbe4c79db9e1539d0772ba72a8f24ed0c 100644 (file)
--- a/app/controllers/application.rb
+++ b/app/controllers/application.rb
@@ -10,32 +10,34 @@ class ApplicationController < ActionController::Base
      redirect_to :controller => 'user', :action => 'login' unless @user
    end
  
      redirect_to :controller => 'user', :action => 'login' unless @user
    end
  
-  def authorize(realm='Web Password', errormessage="Could't authenticate you") \r
-    username, passwd = get_auth_data # parse from headers\r
-    # authenticate per-scheme
-    if username.nil?\r
-      @user = nil # no authentication provided - perhaps first connect (client should retry after 401)\r
-    elsif username == 'token' \r
-      @user = User.authenticate_token(passwd) # preferred - random token for user from db, passed in basic auth\r
-    else\r
-      @user = User.authenticate(username, passwd) # basic auth\r
-    end\r
-    \r
-    # handle authenticate pass/fail\r
-    if @user
-      # user exists and password is correct ... horray! 
-      if @user.methods.include? 'lastlogin'         # note last login 
-        @session['lastlogin'] = user.lastlogin 
-        @user.last.login = Time.now 
-        @user.save() 
-        @session["User.id"] = @user.id 
-      end             
-    else 
-      # no auth, the user does not exist or the password was wrong
-      response.headers["Status"] = "Unauthorized" 
-      response.headers["WWW-Authenticate"] = "Basic realm=\"#{realm}\"" 
-      render_text(errormessage, 401) # :unauthorized
-    end 
+  def authorize(realm='Web Password', errormessage="Couldn't authenticate you") 
+    unless request.get?
+      username, passwd = get_auth_data # parse from headers
+      # authenticate per-scheme
+      if username.nil?
+        @user = nil # no authentication provided - perhaps first connect (client should retry after 401)
+      elsif username == 'token' 
+        @user = User.authenticate_token(passwd) # preferred - random token for user from db, passed in basic auth
+      else
+        @user = User.authenticate(username, passwd) # basic auth
+      end
+
+      # handle authenticate pass/fail
+      if @user
+        # user exists and password is correct ... horray! 
+        if @user.methods.include? 'lastlogin'         # note last login 
+          @session['lastlogin'] = user.lastlogin 
+          @user.last.login = Time.now 
+          @user.save() 
+          @session["User.id"] = @user.id 
+        end             
+      else 
+        # no auth, the user does not exist or the password was wrong
+        response.headers["Status"] = "Unauthorized" 
+        response.headers["WWW-Authenticate"] = "Basic realm=\"#{realm}\"" 
+        render_text(errormessage, 401) # :unauthorized
+      end 
+    end
    end 
  
    # Report and error to the user
    end 
  
    # Report and error to the user
@@ -49,7 +51,7 @@ class ApplicationController < ActionController::Base
      response.headers['Error'] = message
    end
  
      response.headers['Error'] = message
    end
  
-  # extract authorisation credentials from headers, returns user = nil if none\r
+  # extract authorisation credentials from headers, returns user = nil if none
    private 
    def get_auth_data 
      if request.env.has_key? 'X-HTTP_AUTHORIZATION'          # where mod_rewrite might have put it 
    private 
    def get_auth_data 
      if request.env.has_key? 'X-HTTP_AUTHORIZATION'          # where mod_rewrite might have put it 
@@ -60,7 +62,7 @@ class ApplicationController < ActionController::Base
      # only basic authentication supported
      if authdata and authdata[0] == 'Basic' 
        user, pass = Base64.decode64(authdata[1]).split(':')[0..1] 
      # only basic authentication supported
      if authdata and authdata[0] == 'Basic' 
        user, pass = Base64.decode64(authdata[1]).split(':')[0..1] 
-    end \r
+    end 
      return [user, pass] 
    end 
  
      return [user, pass] 
    end