← Back to branch summary

~azzar1/unity/add-show-desktop-key

« back to all changes in this revision

Viewing changes to ivle/dispatch/__init__.py

Complete the rename of OfferingRESTView.

Show diffs side-by-side

added added

removed removed

Lines of Context:
ivle/dispatch/__init__.py
30
30
import os
31
31
import os.path
32
32
import urllib
33
 
import urlparse
34
33
import cgi
35
34
import traceback
36
35
import logging
38
37
import time
39
38
 
40
39
import mod_python
 
40
import routes
41
41
 
42
42
from ivle import util
43
 
import ivle.config
 
43
import ivle.conf
44
44
from ivle.dispatch.request import Request
45
45
import ivle.webapp.security
46
46
from ivle.webapp.base.plugins import ViewPlugin, PublicViewPlugin
47
 
from ivle.webapp.base.xhtml import XHTMLView, XHTMLErrorView
48
 
from ivle.webapp.errors import BadRequest, HTTPError, NotFound, Unauthorized
49
 
from ivle.webapp.publisher import Publisher, PublishingError
50
 
from ivle.webapp import ApplicationRoot
51
 
 
52
 
config = ivle.config.Config()
53
 
 
54
 
class ObjectPermissionCheckingPublisher(Publisher):
55
 
    """A specialised publisher that checks object permissions.
56
 
 
57
 
    This publisher verifies that the user holds any permission at all
58
 
    on the model objects through which the resolution path passes. If
59
 
    no permission is held, resolution is aborted with an Unauthorized
60
 
    exception.
61
 
 
62
 
    IMPORTANT: This does NOT check view permissions. It only checks
63
 
    the objects in between the root and the view, exclusive!
64
 
    """
65
 
 
66
 
    def traversed_to_object(self, obj):
67
 
        """Check that the user has any permission at all over the object."""
68
 
        if (hasattr(obj, 'get_permissions') and
69
 
            len(obj.get_permissions(self.root.user, config)) == 0):
70
 
            # Indicate the forbidden object if this is an admin.
71
 
            if self.root.user and self.root.user.admin:
72
 
                raise Unauthorized('Unauthorized: %s' % obj)
73
 
            else:
74
 
                raise Unauthorized()
75
 
 
76
 
 
77
 
def generate_publisher(view_plugins, root, publicmode=False):
 
47
from ivle.webapp.errors import HTTPError, Unauthorized
 
48
 
 
49
def generate_route_mapper(view_plugins, attr):
78
50
    """
79
51
    Build a Mapper object for doing URL matching using 'routes', based on the
80
52
    given plugin registry.
81
53
    """
82
 
    r = ObjectPermissionCheckingPublisher(root=root)
83
 
 
84
 
    r.add_set_switch('api', 'api')
85
 
 
86
 
    if publicmode:
87
 
        view_attr = 'public_views'
88
 
        forward_route_attr = 'public_forward_routes'
89
 
        reverse_route_attr = 'public_reverse_routes'
90
 
    else:
91
 
        view_attr = 'views'
92
 
        forward_route_attr = 'forward_routes'
93
 
        reverse_route_attr = 'reverse_routes'
94
 
 
95
 
 
 
54
    m = routes.Mapper(explicit=True)
96
55
    for plugin in view_plugins:
97
 
        if hasattr(plugin, forward_route_attr):
98
 
            for fr in getattr(plugin, forward_route_attr):
99
 
                # An annotated function can also be passed in directly.
100
 
                if hasattr(fr, '_forward_route_meta'):
101
 
                    r.add_forward_func(fr)
102
 
                else:
103
 
                    r.add_forward(*fr)
104
 
 
105
 
        if hasattr(plugin, reverse_route_attr):
106
 
            for rr in getattr(plugin, reverse_route_attr):
107
 
                # An annotated function can also be passed in directly.
108
 
                if hasattr(rr, '_reverse_route_src'):
109
 
                    r.add_reverse_func(rr)
110
 
                else:
111
 
                    r.add_reverse(*rr)
112
 
 
113
 
        if hasattr(plugin, view_attr):
114
 
            for v in getattr(plugin, view_attr):
115
 
                r.add_view(*v)
116
 
 
117
 
    return r
 
56
        # Establish a URL pattern for each element of plugin.urls
 
57
        assert hasattr(plugin, 'urls'), "%r does not have any urls" % plugin 
 
58
        for url in getattr(plugin, attr):
 
59
            routex = url[0]
 
60
            view_class = url[1]
 
61
            kwargs_dict = url[2] if len(url) >= 3 else {}
 
62
            m.connect(routex, view=view_class, **kwargs_dict)
 
63
    return m
118
64
 
119
65
def handler(apachereq):
120
66
    """Handles an HTTP request.
124
70
    @param apachereq: An Apache request object.
125
71
    """
126
72
    # Make the request object into an IVLE request which can be given to views
127
 
    req = Request(apachereq, config)
128
 
 
129
 
    req.publisher = generate_publisher(
130
 
        config.plugin_index[ViewPlugin], ApplicationRoot(req),
131
 
        publicmode=req.publicmode)
132
 
 
133
 
    try:
134
 
        obj, viewcls, subpath = req.publisher.resolve(req.uri.decode('utf-8'))
 
73
    req = Request(apachereq)
 
74
 
 
75
    # Hack? Try and get the user login early just in case we throw an error
 
76
    # (most likely 404) to stop us seeing not logged in even when we are.
 
77
    if not req.publicmode:
 
78
        user = ivle.webapp.security.get_user_details(req)
 
79
 
 
80
        # Don't set the user if it is disabled or hasn't accepted the ToS.
 
81
        if user and user.valid:
 
82
            req.user = user
 
83
 
 
84
    conf = ivle.config.Config()
 
85
    req.config = conf
 
86
 
 
87
    if req.publicmode:
 
88
        req.mapper = generate_route_mapper(conf.plugin_index[PublicViewPlugin],
 
89
                                           'public_urls')
 
90
    else:
 
91
        req.mapper = generate_route_mapper(conf.plugin_index[ViewPlugin],
 
92
                                           'urls')
 
93
 
 
94
    matchdict = req.mapper.match(req.uri)
 
95
    if matchdict is not None:
 
96
        viewcls = matchdict['view']
 
97
        # Get the remaining arguments, less 'view', 'action' and 'controller'
 
98
        # (The latter two seem to be built-in, and we don't want them).
 
99
        kwargs = matchdict.copy()
 
100
        del kwargs['view']
135
101
        try:
136
 
            # We 404 if we have a subpath but the view forbids it.
137
 
            if not viewcls.subpath_allowed and subpath:
138
 
                raise NotFound()
139
 
 
140
102
            # Instantiate the view, which should be a BaseView class
141
 
            view = viewcls(req, obj, subpath)
 
103
            view = viewcls(req, **kwargs)
142
104
 
143
105
            # Check that the request (mainly the user) is permitted to access
144
106
            # the view.
145
107
            if not view.authorize(req):
146
 
                # Indicate the forbidden object if this is an admin.
147
 
                if req.user and req.user.admin:
148
 
                    raise Unauthorized('Unauthorized: %s' % view)
149
 
                else:
150
 
                    raise Unauthorized()
151
 
 
152
 
            # Non-GET requests from other sites leave us vulnerable to
153
 
            # CSRFs. Block them.
154
 
            referer = req.headers_in.get('Referer')
155
 
            if (referer is None or
156
 
                urlparse.urlparse(req.headers_in.get('Referer')).netloc !=
157
 
                    req.hostname):
158
 
                if req.method != 'GET' and not view.offsite_posts_allowed:
159
 
                    raise BadRequest(
160
 
                        "Non-GET requests from external sites are forbidden "
161
 
                        "for security reasons.")
162
 
 
 
108
                raise Unauthorized()
163
109
            # Render the output
164
110
            view.render(req)
165
111
        except HTTPError, e:
170
116
            if hasattr(viewcls, 'get_error_view'):
171
117
                errviewcls = viewcls.get_error_view(e)
172
118
            else:
173
 
                errviewcls = XHTMLView.get_error_view(e)
 
119
                errviewcls = None
174
120
 
175
121
            if errviewcls:
176
 
                errview = errviewcls(req, e, obj)
 
122
                errview = errviewcls(req, e)
177
123
                errview.render(req)
178
124
                return req.OK
179
125
            elif e.message:
181
127
                return req.OK
182
128
            else:
183
129
                return e.code
184
 
        except mod_python.apache.SERVER_RETURN:
185
 
            # A mod_python-specific Apache error.
186
 
            # XXX: We need to raise these because req.throw_error() uses them.
187
 
            # Remove this after Google Code issue 117 is fixed.
188
 
            raise
189
130
        except Exception, e:
190
131
            # A non-HTTPError appeared. We have an unknown exception. Panic.
191
132
            handle_unknown_exception(req, *sys.exc_info())
192
133
            return req.OK
193
134
        else:
194
 
            # Commit the transaction if we have a store open.
195
 
            req.commit()
 
135
            req.store.commit()
196
136
            return req.OK
197
 
    except Unauthorized, e:
198
 
        # Resolution failed due to a permission check. Display a pretty
199
 
        # error, or maybe a login page.
200
 
        XHTMLView.get_error_view(e)(req, e, req.publisher.root).render(req)
201
 
        return req.OK
202
 
    except PublishingError, e:
203
 
        req.status = 404
204
 
 
205
 
        if req.user and req.user.admin:
206
 
            XHTMLErrorView(req, NotFound('Not found: ' +
207
 
                                         str(e.args)), e[0]).render(req)
208
 
        else:
209
 
            XHTMLErrorView(req, NotFound(), e[0]).render(req)
210
 
 
211
 
        return req.OK
212
 
    finally:
213
 
        # Make sure we close the store.
214
 
        req.cleanup()
 
137
    else:
 
138
        return req.HTTP_NOT_FOUND # TODO: Prettify.
215
139
 
216
140
def handle_unknown_exception(req, exc_type, exc_value, exc_traceback):
217
141
    """
224
148
    the IVLE request is created.
225
149
    """
226
150
    req.content_type = "text/html"
227
 
    logfile = os.path.join(config['paths']['logs'], 'ivle_error.log')
 
151
    logfile = os.path.join(ivle.conf.log_path, 'ivle_error.log')
228
152
    logfail = False
229
 
 
230
 
    req.status = mod_python.apache.HTTP_INTERNAL_SERVER_ERROR
231
 
 
 
153
    try:
 
154
        httpcode = exc_value.httpcode
 
155
        req.status = httpcode
 
156
    except AttributeError:
 
157
        httpcode = None
 
158
        req.status = mod_python.apache.HTTP_INTERNAL_SERVER_ERROR
232
159
    try:
233
160
        publicmode = req.publicmode
234
161
    except AttributeError:
237
164
        login = req.user.login
238
165
    except AttributeError:
239
166
        login = None
 
167
    try:
 
168
        role = req.user.role
 
169
    except AttributeError:
 
170
        role = None
240
171
 
241
172
    # Log File
242
173
    try:
257
188
    # misbehaves (which is currently very easy, if things aren't set up
258
189
    # correctly).
259
190
    # Write the traceback.
260
 
 
261
 
    # We need to special-case IVLEJailError, as we can get another
 
191
    # If this is a non-4xx IVLEError, get the message and httpcode and
 
192
    # make the error message a bit nicer (but still include the
 
193
    # traceback).
 
194
    # We also need to special-case IVLEJailError, as we can get another
262
195
    # almost-exception out of it.
 
196
 
 
197
    codename, msg = None, None
 
198
 
263
199
    if exc_type is util.IVLEJailError:
 
200
        msg = exc_value.type_str + ": " + exc_value.message
264
201
        tb = 'Exception information extracted from IVLEJailError:\n'
265
202
        tb += urllib.unquote(exc_value.info)
266
203
    else:
 
204
        try:
 
205
            codename, msg = req.get_http_codename(httpcode)
 
206
        except AttributeError:
 
207
            pass
 
208
 
267
209
        tb = ''.join(traceback.format_exception(exc_type, exc_value,
268
210
                                                exc_traceback))
269
211
 
270
 
    logging.error('\n' + tb)
 
212
    logging.error('%s\n%s'%(str(msg), tb))
271
213
 
272
214
    # Error messages are only displayed is the user is NOT a student,
273
215
    # or if there has been a problem logging the error message
274
 
    show_errors = (not publicmode) and ((login and req.user.admin) or logfail)
 
216
    show_errors = (not publicmode) and ((login and \
 
217
                        str(role) != "student") or logfail)
275
218
    req.write("""<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"                 
276
219
        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">                                      
277
220
<html xmlns="http://www.w3.org/1999/xhtml">
278
221
<head><title>IVLE Internal Server Error</title></head>
279
222
<body>
280
 
<h1>IVLE Internal Server Error</h1>
 
223
<h1>IVLE Internal Server Error""")
 
224
    if show_errors:
 
225
        if codename is not None and \
 
226
           httpcode != mod_python.apache.HTTP_INTERNAL_SERVER_ERROR:
 
227
            req.write(": %s" % cgi.escape(codename))
 
228
 
 
229
    req.write("""</h1>
281
230
<p>An error has occured which is the fault of the IVLE developers or
282
231
administrators. """)
283
232
 
289
238
    req.write("</p>")
290
239
 
291
240
    if show_errors:
 
241
        if msg is not None:
 
242
            req.write("<p>%s</p>\n" % cgi.escape(msg))
 
243
        if httpcode is not None:
 
244
            req.write("<p>(HTTP error code %d)</p>\n" % httpcode)
292
245
        req.write("<h2>Debugging information</h2>")
 
246
 
293
247
        req.write("<pre>\n%s\n</pre>\n"%cgi.escape(tb))
294
248
    req.write("</body></html>")