← Back to branch summary

~azzar1/unity/add-show-desktop-key

« back to all changes in this revision

Viewing changes to ivle/webapp/base/rest.py

Add an XHTMLUnauthorizedView which redirects unauthenticated users to the
login page if a page raises an Unauthorized. Alter UserSettingsView to raise
one in the right cases, for testing.

Show diffs side-by-side

added added

removed removed

Lines of Context:
ivle/webapp/base/rest.py
15
15
# along with this program; if not, write to the Free Software
16
16
# Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA  02110-1301  USA
17
17
 
18
 
# Author: Matt Giuca, Will Grant, Nick Chadwick
 
18
# Author: Matt Giuca, Will Grant
19
19
 
20
20
import cgi
21
 
import functools
22
21
import inspect
23
 
import os
24
 
import urlparse
25
22
 
26
23
import cjson
27
 
import genshi.template
28
24
 
29
25
from ivle.webapp.base.views import BaseView
30
 
from ivle.webapp.base.xhtml import GenshiLoaderMixin
31
 
from ivle.webapp.errors import BadRequest, MethodNotAllowed, Unauthorized
 
26
from ivle.webapp.errors import BadRequest, MethodNotAllowed
32
27
 
33
28
class RESTView(BaseView):
34
29
    """
37
32
    """
38
33
    content_type = "application/octet-stream"
39
34
 
 
35
    def __init__(self, req, *args, **kwargs):
 
36
        for key in kwargs:
 
37
            setattr(self, key, kwargs[key])
 
38
 
40
39
    def render(self, req):
41
40
        raise NotImplementedError()
42
41
 
50
49
        lambda self: [m for m in ('GET', 'PUT', 'PATCH')
51
50
                      if hasattr(self, m)] + ['POST'])
52
51
 
53
 
    def authorize(self, req):
54
 
        return True # Real authz performed in render().
55
 
 
56
 
    def authorize_method(self, req, op):
57
 
        if not hasattr(op, '_rest_api_permission'):
58
 
            raise Unauthorized()
59
 
 
60
 
        if (op._rest_api_permission not in
61
 
            self.get_permissions(req.user, req.config)):
62
 
            raise Unauthorized()
63
 
    
64
 
    def convert_bool(self, value):
65
 
        if value in ('True', 'true', True):
66
 
            return True
67
 
        elif value in ('False', 'false', False):
68
 
            return False
69
 
        else:
70
 
            raise BadRequest()
71
 
 
72
52
    def render(self, req):
73
53
        if req.method not in self._allowed_methods:
74
54
            raise MethodNotAllowed(allowed=self._allowed_methods)
75
55
 
76
56
        if req.method == 'GET':
77
 
            qargs = dict(cgi.parse_qsl(
78
 
                urlparse.urlparse(req.unparsed_uri).query,
79
 
                keep_blank_values=1))
80
 
            if 'ivle.op' in qargs:
81
 
                outjson = self._named_operation(req, qargs, readonly=True)
82
 
            else:
83
 
                self.authorize_method(req, self.GET)
84
 
                outjson = self.GET(req)
 
57
            outjson = self.GET(req)
85
58
        # Since PATCH isn't yet an official HTTP method, we allow users to
86
59
        # turn a PUT into a PATCH by supplying a special header.
87
60
        elif req.method == 'PATCH' or (req.method == 'PUT' and
88
61
              'X-IVLE-Patch-Semantics' in req.headers_in and
89
62
              req.headers_in['X-IVLE-Patch-Semantics'].lower() == 'yes'):
90
 
            self.authorize_method(req, self.PATCH)
91
63
            try:
92
64
                input = cjson.decode(req.read())
93
65
            except cjson.DecodeError:
94
66
                raise BadRequest('Invalid JSON data')
95
67
            outjson = self.PATCH(req, input)
96
68
        elif req.method == 'PUT':
97
 
            self.authorize_method(req, self.PUT)
98
69
            try:
99
70
                input = cjson.decode(req.read())
100
71
            except cjson.DecodeError:
103
74
        # POST implies named operation.
104
75
        elif req.method == 'POST':
105
76
            # TODO: Check Content-Type and implement multipart/form-data.
106
 
            data = req.read()
107
 
            opargs = dict(cgi.parse_qsl(data, keep_blank_values=1))
108
 
            outjson = self._named_operation(req, opargs)
 
77
            opargs = dict(cgi.parse_qsl(req.read()))
 
78
            try:
 
79
                opname = opargs['ivle.op']
 
80
                del opargs['ivle.op']
 
81
            except KeyError:
 
82
                raise BadRequest('No named operation specified.')
 
83
 
 
84
            try:
 
85
                op = getattr(self, opname)
 
86
            except AttributeError:
 
87
                raise BadRequest('Invalid named operation.')
 
88
 
 
89
            if not hasattr(op, '_rest_api_callable') or \
 
90
               not op._rest_api_callable:
 
91
                raise BadRequest('Invalid named operation.')
 
92
 
 
93
            # Find any missing arguments, except for the first two (self, req)
 
94
            (args, vaargs, varkw, defaults) = inspect.getargspec(op)
 
95
            args = args[2:]
 
96
 
 
97
            # To find missing arguments, we eliminate the provided arguments
 
98
            # from the set of remaining function signature arguments. If the
 
99
            # remaining signature arguments are in the args[-len(defaults):],
 
100
            # we are OK.
 
101
            unspec = set(args) - set(opargs.keys())
 
102
            if unspec and not defaults:
 
103
                raise BadRequest('Missing arguments: ' + ', '.join(unspec))
 
104
 
 
105
            unspec = [k for k in unspec if k not in args[-len(defaults):]]
 
106
 
 
107
            if unspec:
 
108
                raise BadRequest('Missing arguments: ' + ', '.join(unspec))
 
109
 
 
110
            # We have extra arguments if the are no match args in the function
 
111
            # signature, AND there is no **.
 
112
            extra = set(opargs.keys()) - set(args)
 
113
            if extra and not varkw:
 
114
                raise BadRequest('Extra arguments: ' + ', '.join(extra))
 
115
 
 
116
            outjson = op(req, **opargs)
109
117
 
110
118
        req.content_type = self.content_type
111
 
        self.write_json(req, outjson)
112
 
 
113
 
    #This is a separate function to allow additional data to be passed through
114
 
    def write_json(self, req, outjson):
115
119
        if outjson is not None:
116
120
            req.write(cjson.encode(outjson))
117
121
            req.write("\n")
118
122
 
119
 
    def _named_operation(self, req, opargs, readonly=False):
120
 
        try:
121
 
            opname = opargs['ivle.op']
122
 
            del opargs['ivle.op']
123
 
        except KeyError:
124
 
            raise BadRequest('No named operation specified.')
125
 
 
126
 
        try:
127
 
            op = getattr(self, opname)
128
 
        except AttributeError:
129
 
            raise BadRequest('Invalid named operation.')
130
 
 
131
 
        if not hasattr(op, '_rest_api_callable') or \
132
 
           not op._rest_api_callable:
133
 
            raise BadRequest('Invalid named operation.')
134
 
 
135
 
        if readonly and op._rest_api_write_operation:
136
 
            raise BadRequest('POST required for write operation.')
137
 
 
138
 
        self.authorize_method(req, op)
139
 
 
140
 
        # Find any missing arguments, except for the first two (self, req)
141
 
        (args, vaargs, varkw, defaults) = inspect.getargspec(op)
142
 
        args = args[2:]
143
 
 
144
 
        # To find missing arguments, we eliminate the provided arguments
145
 
        # from the set of remaining function signature arguments. If the
146
 
        # remaining signature arguments are in the args[-len(defaults):],
147
 
        # we are OK.
148
 
        unspec = set(args) - set(opargs.keys())
149
 
        if unspec and not defaults:
150
 
            raise BadRequest('Missing arguments: ' + ', '.join(unspec))
151
 
 
152
 
        unspec = [k for k in unspec if k not in args[-len(defaults):]]
153
 
 
154
 
        if unspec:
155
 
            raise BadRequest('Missing arguments: ' + ', '.join(unspec))
156
 
 
157
 
        # We have extra arguments if the are no match args in the function
158
 
        # signature, AND there is no **.
159
 
        extra = set(opargs.keys()) - set(args)
160
 
        if extra and not varkw:
161
 
            raise BadRequest('Extra arguments: ' + ', '.join(extra))
162
 
 
163
 
        return op(req, **opargs)
164
 
 
165
 
 
166
 
class XHTMLRESTView(GenshiLoaderMixin, JSONRESTView):
167
 
    """A special type of RESTView which takes enhances the standard JSON
168
 
    with genshi XHTML functions.
169
 
    
170
 
    XHTMLRESTViews should have a template, which is rendered using their
171
 
    context. This is returned in the JSON as 'html'"""
172
 
    template = None
173
 
    ctx = genshi.template.Context()
174
 
 
175
 
    def render_fragment(self):
176
 
        if self.template is None:
177
 
            raise NotImplementedError()
178
 
 
179
 
        rest_template = os.path.join(os.path.dirname(
180
 
                inspect.getmodule(self).__file__), self.template)
181
 
        tmpl = self._loader.load(rest_template)
182
 
 
183
 
        return tmpl.generate(self.ctx).render('xhtml', doctype='xhtml')
184
 
    
185
 
    # This renders the template and adds it to the json
186
 
    def write_json(self, req, outjson):
187
 
        outjson["html"] = self.render_fragment()
188
 
        req.write(cjson.encode(outjson))
189
 
        req.write("\n")
190
 
 
191
 
class _named_operation(object):
 
123
def named_operation(meth):
192
124
    '''Declare a function to be accessible to HTTP users via the REST API.
193
125
    '''
194
 
    def __init__(self, write_operation, permission):
195
 
        self.write_operation = write_operation
196
 
        self.permission = permission
197
 
 
198
 
    def __call__(self, func):
199
 
        func._rest_api_callable = True
200
 
        func._rest_api_write_operation = self.write_operation
201
 
        func._rest_api_permission = self.permission
202
 
        return func
203
 
 
204
 
write_operation = functools.partial(_named_operation, True)
205
 
read_operation = functools.partial(_named_operation, False)
206
 
 
207
 
class require_permission(object):
208
 
    '''Declare the permission required for use of a method via the REST API.
209
 
    '''
210
 
    def __init__(self, permission):
211
 
        self.permission = permission
212
 
 
213
 
    def __call__(self, func):
214
 
        func._rest_api_permission = self.permission
215
 
        return func
 
126
    meth._rest_api_callable = True
 
127
    return meth
 
128