← Back to branch summary

~azzar1/unity/add-show-desktop-key

« back to all changes in this revision

Viewing changes to ivle/dispatch/__init__.py

Expose media on the public site.

Show diffs side-by-side

added added

removed removed

Lines of Context:
ivle/dispatch/__init__.py
30
30
import os
31
31
import os.path
32
32
import urllib
33
 
import urlparse
34
33
import cgi
35
34
import traceback
36
35
import logging
38
37
import time
39
38
 
40
39
import mod_python
 
40
import routes
41
41
 
42
42
from ivle import util
43
 
import ivle.config
 
43
import ivle.conf
44
44
from ivle.dispatch.request import Request
45
45
import ivle.webapp.security
46
46
from ivle.webapp.base.plugins import ViewPlugin, PublicViewPlugin
47
47
from ivle.webapp.base.xhtml import XHTMLView, XHTMLErrorView
48
 
from ivle.webapp.errors import BadRequest, HTTPError, NotFound, Unauthorized
49
 
from ivle.webapp.publisher import Publisher, PublishingError
50
 
from ivle.webapp import ApplicationRoot
51
 
 
52
 
config = ivle.config.Config()
53
 
 
54
 
class ObjectPermissionCheckingPublisher(Publisher):
55
 
    """A specialised publisher that checks object permissions.
56
 
 
57
 
    This publisher verifies that the user holds any permission at all
58
 
    on the model objects through which the resolution path passes. If
59
 
    no permission is held, resolution is aborted with an Unauthorized
60
 
    exception.
61
 
 
62
 
    IMPORTANT: This does NOT check view permissions. It only checks
63
 
    the objects in between the root and the view, exclusive!
64
 
    """
65
 
 
66
 
    def traversed_to_object(self, obj):
67
 
        """Check that the user has any permission at all over the object."""
68
 
        if (hasattr(obj, 'get_permissions') and
69
 
            len(obj.get_permissions(self.root.user, config)) == 0):
70
 
            # Indicate the forbidden object if this is an admin.
71
 
            if self.root.user and self.root.user.admin:
72
 
                raise Unauthorized('Unauthorized: %s' % obj)
73
 
            else:
74
 
                raise Unauthorized()
75
 
 
76
 
 
77
 
def generate_publisher(view_plugins, root, publicmode=False):
 
48
from ivle.webapp.errors import HTTPError, Unauthorized, NotFound
 
49
 
 
50
def generate_route_mapper(view_plugins, attr):
78
51
    """
79
52
    Build a Mapper object for doing URL matching using 'routes', based on the
80
53
    given plugin registry.
81
54
    """
82
 
    r = ObjectPermissionCheckingPublisher(root=root)
83
 
 
84
 
    r.add_set_switch('api', 'api')
85
 
 
86
 
    if publicmode:
87
 
        view_attr = 'public_views'
88
 
        forward_route_attr = 'public_forward_routes'
89
 
        reverse_route_attr = 'public_reverse_routes'
90
 
    else:
91
 
        view_attr = 'views'
92
 
        forward_route_attr = 'forward_routes'
93
 
        reverse_route_attr = 'reverse_routes'
94
 
 
95
 
 
 
55
    m = routes.Mapper(explicit=True)
96
56
    for plugin in view_plugins:
97
 
        if hasattr(plugin, forward_route_attr):
98
 
            for fr in getattr(plugin, forward_route_attr):
99
 
                # An annotated function can also be passed in directly.
100
 
                if hasattr(fr, '_forward_route_meta'):
101
 
                    r.add_forward_func(fr)
102
 
                else:
103
 
                    r.add_forward(*fr)
104
 
 
105
 
        if hasattr(plugin, reverse_route_attr):
106
 
            for rr in getattr(plugin, reverse_route_attr):
107
 
                # An annotated function can also be passed in directly.
108
 
                if hasattr(rr, '_reverse_route_src'):
109
 
                    r.add_reverse_func(rr)
110
 
                else:
111
 
                    r.add_reverse(*rr)
112
 
 
113
 
        if hasattr(plugin, view_attr):
114
 
            for v in getattr(plugin, view_attr):
115
 
                r.add_view(*v)
116
 
 
117
 
    return r
 
57
        # Establish a URL pattern for each element of plugin.urls
 
58
        assert hasattr(plugin, 'urls'), "%r does not have any urls" % plugin 
 
59
        for url in getattr(plugin, attr):
 
60
            routex = url[0]
 
61
            view_class = url[1]
 
62
            kwargs_dict = url[2] if len(url) >= 3 else {}
 
63
            m.connect(routex, view=view_class, **kwargs_dict)
 
64
    return m
118
65
 
119
66
def handler(apachereq):
120
67
    """Handles an HTTP request.
124
71
    @param apachereq: An Apache request object.
125
72
    """
126
73
    # Make the request object into an IVLE request which can be given to views
127
 
    req = Request(apachereq, config)
128
 
 
129
 
    req.publisher = generate_publisher(
130
 
        config.plugin_index[ViewPlugin], ApplicationRoot(req),
131
 
        publicmode=req.publicmode)
132
 
 
133
 
    try:
134
 
        obj, viewcls, subpath = req.publisher.resolve(req.uri.decode('utf-8'))
 
74
    req = Request(apachereq)
 
75
 
 
76
    # Hack? Try and get the user login early just in case we throw an error
 
77
    # (most likely 404) to stop us seeing not logged in even when we are.
 
78
    if not req.publicmode:
 
79
        user = ivle.webapp.security.get_user_details(req)
 
80
 
 
81
        # Don't set the user if it is disabled or hasn't accepted the ToS.
 
82
        if user and user.valid:
 
83
            req.user = user
 
84
 
 
85
    conf = ivle.config.Config()
 
86
    req.config = conf
 
87
 
 
88
    if req.publicmode:
 
89
        req.mapper = generate_route_mapper(conf.plugin_index[PublicViewPlugin],
 
90
                                           'public_urls')
 
91
    else:
 
92
        req.mapper = generate_route_mapper(conf.plugin_index[ViewPlugin],
 
93
                                           'urls')
 
94
 
 
95
    matchdict = req.mapper.match(req.uri)
 
96
    if matchdict is not None:
 
97
        viewcls = matchdict['view']
 
98
        # Get the remaining arguments, less 'view', 'action' and 'controller'
 
99
        # (The latter two seem to be built-in, and we don't want them).
 
100
        kwargs = matchdict.copy()
 
101
        del kwargs['view']
135
102
        try:
136
 
            # We 404 if we have a subpath but the view forbids it.
137
 
            if not viewcls.subpath_allowed and subpath:
138
 
                raise NotFound()
139
 
 
140
103
            # Instantiate the view, which should be a BaseView class
141
 
            view = viewcls(req, obj, subpath)
 
104
            view = viewcls(req, **kwargs)
142
105
 
143
106
            # Check that the request (mainly the user) is permitted to access
144
107
            # the view.
145
108
            if not view.authorize(req):
146
 
                # Indicate the forbidden object if this is an admin.
147
 
                if req.user and req.user.admin:
148
 
                    raise Unauthorized('Unauthorized: %s' % view)
149
 
                else:
150
 
                    raise Unauthorized()
151
 
 
152
 
            # Non-GET requests from other sites leave us vulnerable to
153
 
            # CSRFs. Block them.
154
 
            referer = req.headers_in.get('Referer')
155
 
            if (referer is None or
156
 
                urlparse.urlparse(req.headers_in.get('Referer')).netloc !=
157
 
                    req.hostname):
158
 
                if req.method != 'GET' and not view.offsite_posts_allowed:
159
 
                    raise BadRequest(
160
 
                        "Non-GET requests from external sites are forbidden "
161
 
                        "for security reasons.")
162
 
 
 
109
                raise Unauthorized()
163
110
            # Render the output
164
111
            view.render(req)
165
112
        except HTTPError, e:
173
120
                errviewcls = XHTMLView.get_error_view(e)
174
121
 
175
122
            if errviewcls:
176
 
                errview = errviewcls(req, e, obj)
 
123
                errview = errviewcls(req, e)
177
124
                errview.render(req)
178
125
                return req.OK
179
126
            elif e.message:
181
128
                return req.OK
182
129
            else:
183
130
                return e.code
184
 
        except mod_python.apache.SERVER_RETURN:
185
 
            # A mod_python-specific Apache error.
186
 
            # XXX: We need to raise these because req.throw_error() uses them.
187
 
            # Remove this after Google Code issue 117 is fixed.
188
 
            raise
189
131
        except Exception, e:
190
132
            # A non-HTTPError appeared. We have an unknown exception. Panic.
191
133
            handle_unknown_exception(req, *sys.exc_info())
192
134
            return req.OK
193
135
        else:
194
 
            # Commit the transaction if we have a store open.
195
 
            req.commit()
 
136
            req.store.commit()
196
137
            return req.OK
197
 
    except Unauthorized, e:
198
 
        # Resolution failed due to a permission check. Display a pretty
199
 
        # error, or maybe a login page.
200
 
        XHTMLView.get_error_view(e)(req, e, req.publisher.root).render(req)
201
 
        return req.OK
202
 
    except PublishingError, e:
203
 
        req.status = 404
204
 
 
205
 
        if req.user and req.user.admin:
206
 
            XHTMLErrorView(req, NotFound('Not found: ' +
207
 
                                         str(e.args)), e[0]).render(req)
208
 
        else:
209
 
            XHTMLErrorView(req, NotFound(), e[0]).render(req)
210
 
 
211
 
        return req.OK
212
 
    finally:
213
 
        # Make sure we close the store.
214
 
        req.cleanup()
 
138
    else:
 
139
        XHTMLErrorView(req, NotFound()).render(req)
 
140
        return req.OK
215
141
 
216
142
def handle_unknown_exception(req, exc_type, exc_value, exc_traceback):
217
143
    """
224
150
    the IVLE request is created.
225
151
    """
226
152
    req.content_type = "text/html"
227
 
    logfile = os.path.join(config['paths']['logs'], 'ivle_error.log')
 
153
    logfile = os.path.join(ivle.conf.log_path, 'ivle_error.log')
228
154
    logfail = False
229
 
 
230
 
    req.status = mod_python.apache.HTTP_INTERNAL_SERVER_ERROR
231
 
 
 
155
    try:
 
156
        httpcode = exc_value.httpcode
 
157
        req.status = httpcode
 
158
    except AttributeError:
 
159
        httpcode = None
 
160
        req.status = mod_python.apache.HTTP_INTERNAL_SERVER_ERROR
232
161
    try:
233
162
        publicmode = req.publicmode
234
163
    except AttributeError:
237
166
        login = req.user.login
238
167
    except AttributeError:
239
168
        login = None
 
169
    try:
 
170
        role = req.user.role
 
171
    except AttributeError:
 
172
        role = None
240
173
 
241
174
    # Log File
242
175
    try:
257
190
    # misbehaves (which is currently very easy, if things aren't set up
258
191
    # correctly).
259
192
    # Write the traceback.
260
 
 
261
 
    # We need to special-case IVLEJailError, as we can get another
 
193
    # If this is a non-4xx IVLEError, get the message and httpcode and
 
194
    # make the error message a bit nicer (but still include the
 
195
    # traceback).
 
196
    # We also need to special-case IVLEJailError, as we can get another
262
197
    # almost-exception out of it.
 
198
 
 
199
    codename, msg = None, None
 
200
 
263
201
    if exc_type is util.IVLEJailError:
 
202
        msg = exc_value.type_str + ": " + exc_value.message
264
203
        tb = 'Exception information extracted from IVLEJailError:\n'
265
204
        tb += urllib.unquote(exc_value.info)
266
205
    else:
 
206
        try:
 
207
            codename, msg = req.get_http_codename(httpcode)
 
208
        except AttributeError:
 
209
            pass
 
210
 
267
211
        tb = ''.join(traceback.format_exception(exc_type, exc_value,
268
212
                                                exc_traceback))
269
213
 
270
 
    logging.error('\n' + tb)
 
214
    logging.error('%s\n%s'%(str(msg), tb))
271
215
 
272
216
    # Error messages are only displayed is the user is NOT a student,
273
217
    # or if there has been a problem logging the error message
274
 
    show_errors = (not publicmode) and ((login and req.user.admin) or logfail)
 
218
    show_errors = (not publicmode) and ((login and \
 
219
                        str(role) != "student") or logfail)
275
220
    req.write("""<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"                 
276
221
        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">                                      
277
222
<html xmlns="http://www.w3.org/1999/xhtml">
278
223
<head><title>IVLE Internal Server Error</title></head>
279
224
<body>
280
 
<h1>IVLE Internal Server Error</h1>
 
225
<h1>IVLE Internal Server Error""")
 
226
    if show_errors:
 
227
        if codename is not None and \
 
228
           httpcode != mod_python.apache.HTTP_INTERNAL_SERVER_ERROR:
 
229
            req.write(": %s" % cgi.escape(codename))
 
230
 
 
231
    req.write("""</h1>
281
232
<p>An error has occured which is the fault of the IVLE developers or
282
233
administrators. """)
283
234
 
289
240
    req.write("</p>")
290
241
 
291
242
    if show_errors:
 
243
        if msg is not None:
 
244
            req.write("<p>%s</p>\n" % cgi.escape(msg))
 
245
        if httpcode is not None:
 
246
            req.write("<p>(HTTP error code %d)</p>\n" % httpcode)
292
247
        req.write("<h2>Debugging information</h2>")
 
248
 
293
249
        req.write("<pre>\n%s\n</pre>\n"%cgi.escape(tb))
294
250
    req.write("</body></html>")