]> git.openstreetmap.org Git - rails.git/blobdiff - app/controllers/user_controller.rb
Add support for Google OAuth2 authentication
[rails.git] / app / controllers / user_controller.rb
index a62e58b0e57abc92f1ce374c727210915a80f3a0..c7e44dab64e3da5f4f541dff74fdf07eff87e2e5 100644 (file)
@@ -1,23 +1,23 @@
 class UserController < ApplicationController
   layout "site", :except => [:api_details]
 
-  skip_before_filter :verify_authenticity_token, :only => [:api_read, :api_details, :api_gpx_files, :auth_success]
-  before_filter :disable_terms_redirect, :only => [:terms, :save, :logout, :api_details]
-  before_filter :authorize, :only => [:api_details, :api_gpx_files]
-  before_filter :authorize_web, :except => [:api_read, :api_details, :api_gpx_files]
-  before_filter :set_locale, :except => [:api_read, :api_details, :api_gpx_files]
-  before_filter :require_user, :only => [:account, :go_public, :make_friend, :remove_friend]
-  before_filter :require_self, :only => [:account]
-  before_filter :check_database_readable, :except => [:login, :api_read, :api_details, :api_gpx_files]
-  before_filter :check_database_writable, :only => [:new, :account, :confirm, :confirm_email, :lost_password, :reset_password, :go_public, :make_friend, :remove_friend]
-  before_filter :check_api_readable, :only => [:api_read, :api_details, :api_gpx_files]
-  before_filter :require_allow_read_prefs, :only => [:api_details]
-  before_filter :require_allow_read_gpx, :only => [:api_gpx_files]
-  before_filter :require_cookies, :only => [:new, :login, :confirm]
-  before_filter :require_administrator, :only => [:set_status, :delete, :list]
-  around_filter :api_call_handle_error, :only => [:api_read, :api_details, :api_gpx_files]
-  before_filter :lookup_user_by_id, :only => [:api_read]
-  before_filter :lookup_user_by_name, :only => [:set_status, :delete]
+  skip_before_action :verify_authenticity_token, :only => [:api_read, :api_details, :api_gpx_files, :auth_success]
+  before_action :disable_terms_redirect, :only => [:terms, :save, :logout, :api_details]
+  before_action :authorize, :only => [:api_details, :api_gpx_files]
+  before_action :authorize_web, :except => [:api_read, :api_details, :api_gpx_files]
+  before_action :set_locale, :except => [:api_read, :api_details, :api_gpx_files]
+  before_action :require_user, :only => [:account, :go_public, :make_friend, :remove_friend]
+  before_action :require_self, :only => [:account]
+  before_action :check_database_readable, :except => [:login, :api_read, :api_details, :api_gpx_files]
+  before_action :check_database_writable, :only => [:new, :account, :confirm, :confirm_email, :lost_password, :reset_password, :go_public, :make_friend, :remove_friend]
+  before_action :check_api_readable, :only => [:api_read, :api_details, :api_gpx_files]
+  before_action :require_allow_read_prefs, :only => [:api_details]
+  before_action :require_allow_read_gpx, :only => [:api_gpx_files]
+  before_action :require_cookies, :only => [:new, :login, :confirm]
+  before_action :require_administrator, :only => [:set_status, :delete, :list]
+  around_action :api_call_handle_error, :only => [:api_read, :api_details, :api_gpx_files]
+  before_action :lookup_user_by_id, :only => [:api_read]
+  before_action :lookup_user_by_name, :only => [:set_status, :delete]
 
   def terms
     @legale = params[:legale] || OSM.ip_to_country(request.remote_ip) || DEFAULT_LEGALE
@@ -227,7 +227,7 @@ class UserController < ApplicationController
 
       @user.status = "pending"
 
-      if @user.auth_provider.present? && @user.auth_uid.present? && @user.pass_crypt.empty?
+      if @user.auth_provider.present? && @user.pass_crypt.empty?
         # We are creating an account with external authentication and
         # no password was specified so create a random one
         @user.pass_crypt = SecureRandom.base64(16)
@@ -237,7 +237,7 @@ class UserController < ApplicationController
       if @user.invalid?
         # Something is wrong with a new user, so rerender the form
         render :action => "new"
-      elsif @user.auth_provider.present? && @user.auth_uid.present?
+      elsif @user.auth_provider.present?
         # Verify external authenticator before moving on
         session[:new_user] = @user
         redirect_to auth_url(@user.auth_provider, @user.auth_uid)
@@ -250,9 +250,9 @@ class UserController < ApplicationController
   end
 
   def login
-    if params[:username] || params[:openid_url]
-      session[:referer] ||= params[:referer]
+    session[:referer] = params[:referer] if params[:referer]
 
+    if params[:username] || params[:openid_url]
       if params[:openid_url].present?
         session[:remember_me] ||= params[:remember_me_openid]
         redirect_to auth_url("openid", params[:openid_url])
@@ -329,7 +329,7 @@ class UserController < ApplicationController
       Notifier.signup_confirm(user, user.tokens.create).deliver_now
       flash[:notice] = t "user.confirm_resend.success", :email => user.email
     else
-      flash[:notice] = t "user.confirm_resend.failure", :name => params[:display_name]
+      flash[:error] = t "user.confirm_resend.failure", :name => params[:display_name]
     end
 
     redirect_to :action => "login"
@@ -351,26 +351,32 @@ class UserController < ApplicationController
         token.destroy
         session[:user] = @user.id
         redirect_to :action => "account", :display_name => @user.display_name
-      else
+      elsif token
         flash[:error] = t "user.confirm_email.failure"
-        redirect_to :action => "account", :display_name => @user.display_name
+        redirect_to :action => "account", :display_name => token.user.display_name
+      else
+        flash[:error] = t "user.confirm_email.unknown_token"
       end
     end
   end
 
   def api_read
-    render :text => "", :status => :gone unless @this_user.visible?
+    if @this_user.visible?
+      render :action => :api_read, :content_type => "text/xml"
+    else
+      render :text => "", :status => :gone
+    end
   end
 
   def api_details
     @this_user = @user
-    render :action => :api_read
+    render :action => :api_read, :content_type => "text/xml"
   end
 
   def api_gpx_files
     doc = OSM::API.new.get_xml_doc
-    @user.traces.each do |trace|
-      doc.root << trace.to_xml_node if trace.public? || trace.user == @user
+    @user.traces.reload.each do |trace|
+      doc.root << trace.to_xml_node
     end
     render :text => doc.to_s, :content_type => "text/xml"
   end
@@ -460,8 +466,8 @@ class UserController < ApplicationController
     if request.post?
       ids = params[:user].keys.collect(&:to_i)
 
-      User.update_all("status = 'confirmed'", :id => ids) if params[:confirm]
-      User.update_all("status = 'deleted'", :id => ids) if params[:hide]
+      User.where(:id => ids).update_all(:status => "confirmed") if params[:confirm]
+      User.where(:id => ids).update_all(:status => "deleted") if params[:hide]
 
       redirect_to url_for(:status => params[:status], :ip => params[:ip], :page => params[:page])
     else
@@ -490,11 +496,21 @@ class UserController < ApplicationController
     when "openid"
       email_verified = uid.match(%r{https://www.google.com/accounts/o8/id?(.*)}) ||
                        uid.match(%r{https://me.yahoo.com/(.*)})
+    when "google"
+      email_verified = true
     else
       email_verified = false
     end
 
-    if user = User.find_by_auth_provider_and_auth_uid(provider, uid)
+    user = User.find_by_auth_provider_and_auth_uid(provider, uid)
+
+    if user.nil? && provider == "google"
+      openid_url = auth_info[:extra][:id_info]["openid_id"]
+      user = User.find_by_auth_provider_and_auth_uid("openid", openid_url) if openid_url
+      user.update(:auth_provider => provider, :auth_uid => uid) if user
+    end
+
+    if user
       case user.status
       when "pending" then
         unconfirmed_login(user)
@@ -566,7 +582,7 @@ class UserController < ApplicationController
   def openid_expand_url(openid_url)
     if openid_url.nil?
       return nil
-    elsif openid_url.match(/(.*)gmail.com(\/?)$/) || openid_url.match(/(.*)googlemail.com(\/?)$/)
+    elsif openid_url.match(%r{(.*)gmail.com(/?)$}) || openid_url.match(%r{(.*)googlemail.com(/?)$})
       # Special case gmail.com as it is potentially a popular OpenID
       # provider and, unlike yahoo.com, where it works automatically, Google
       # have hidden their OpenID endpoint somewhere obscure this making it
@@ -662,8 +678,7 @@ class UserController < ApplicationController
       user.preferred_editor = params[:user][:preferred_editor]
     end
 
-    if params[:user][:auth_provider].nil? || params[:user][:auth_provider].blank? ||
-       params[:user][:auth_uid].nil? || params[:user][:auth_uid].blank?
+    if params[:user][:auth_provider].nil? || params[:user][:auth_provider].blank?
       user.auth_provider = nil
       user.auth_uid = nil
     end