services/api/app/controllers/arvados/v1/groups_controller.rb

   1 # Copyright (C) The Arvados Authors. All rights reserved.
   2 #
   3 # SPDX-License-Identifier: AGPL-3.0
   4
   5 require "trashable"
   6
   7 class Arvados::V1::GroupsController < ApplicationController
   8   include TrashableController
   9
  10   before_action :load_include_param, only: [:shared, :contents]
  11   skip_before_action :find_object_by_uuid, only: :shared
  12   skip_before_action :render_404_if_no_object, only: :shared
  13
  14   def self._index_requires_parameters
  15     (super rescue {}).
  16       merge({
  17         include_trash: {
  18           type: 'boolean', required: false, default: false, description: "Include items whose is_trashed attribute is true.",
  19         },
  20       })
  21   end
  22
  23   def self._show_requires_parameters
  24     (super rescue {}).
  25       merge({
  26         include_trash: {
  27           type: 'boolean', required: false, default: false, description: "Show group/project even if its is_trashed attribute is true.",
  28         },
  29       })
  30   end
  31
  32   def self._contents_requires_parameters
  33     params = _index_requires_parameters.
  34       merge({
  35               uuid: {
  36                 type: 'string', required: false, default: '',
  37               },
  38               recursive: {
  39                 type: 'boolean', required: false, default: false, description: 'Include contents from child groups recursively.',
  40               },
  41               include: {
  42                 type: 'array', required: false, description: 'Include objects referred to by listed fields in "included" response field. Subsets of ["owner_uuid", "container_uuid"] are supported.',
  43               },
  44               include_old_versions: {
  45                 type: 'boolean', required: false, default: false, description: 'Include past collection versions.',
  46               }
  47             })
  48     params
  49   end
  50
  51   def self._create_requires_parameters
  52     super.merge(
  53       {
  54         async: {
  55           required: false,
  56           type: 'boolean',
  57           location: 'query',
  58           default: false,
  59           description: 'defer permissions update',
  60         }
  61       }
  62     )
  63   end
  64
  65   def self._update_requires_parameters
  66     super.merge(
  67       {
  68         async: {
  69           required: false,
  70           type: 'boolean',
  71           location: 'query',
  72           default: false,
  73           description: 'defer permissions update',
  74         }
  75       }
  76     )
  77   end
  78
  79   def create
  80     if params[:async]
  81       @object = model_class.new(resource_attrs.merge({async_permissions_update: true}))
  82       @object.save!
  83       render_accepted
  84     else
  85       super
  86     end
  87   end
  88
  89   def update
  90     if params[:async]
  91       attrs_to_update = resource_attrs.reject { |k, v|
  92         [:kind, :etag, :href].index k
  93       }.merge({async_permissions_update: true})
  94       @object.update!(attrs_to_update)
  95       @object.save!
  96       render_accepted
  97     else
  98       super
  99     end
 100   end
 101
 102   def render_404_if_no_object
 103     if params[:action] == 'contents'
 104       if !params[:uuid]
 105         # OK!
 106         @object = nil
 107         true
 108       elsif @object
 109         # Project group
 110         true
 111       elsif (@object = User.where(uuid: params[:uuid]).first)
 112         # "Home" pseudo-project
 113         true
 114       else
 115         super
 116       end
 117     else
 118       super
 119     end
 120   end
 121
 122   def contents
 123     @orig_select = @select
 124     load_searchable_objects
 125     list = {
 126       :kind => "arvados#objectList",
 127       :etag => "",
 128       :self_link => "",
 129       :offset => @offset,
 130       :limit => @limit,
 131       :items => @objects.as_api_response(nil)
 132     }
 133     if params[:count] != 'none'
 134       list[:items_available] = @items_available
 135     end
 136     if @extra_included
 137       list[:included] = @extra_included.as_api_response(nil, {select: @orig_select})
 138     end
 139     send_json(list)
 140   end
 141
 142   def shared
 143     # The purpose of this endpoint is to return the toplevel set of
 144     # groups which are *not* reachable through a direct ownership
 145     # chain of projects starting from the current user account.  In
 146     # other words, groups which to which access was granted via a
 147     # permission link or chain of links.
 148     #
 149     # This also returns (in the "included" field) the objects that own
 150     # those projects (users or non-project groups).
 151     #
 152     # The intended use of this endpoint is to support clients which
 153     # wish to browse those projects which are visible to the user but
 154     # are not part of the "home" project.
 155
 156     load_limit_offset_order_params
 157     load_filters_param
 158
 159     @objects = exclude_home Group.readable_by(*@read_users), Group
 160
 161     apply_where_limit_order_params
 162
 163     if @include.include?("owner_uuid")
 164       owners = @objects.map(&:owner_uuid).to_set
 165       @extra_included ||= []
 166       [Group, User].each do |klass|
 167         @extra_included += klass.readable_by(*@read_users).where(uuid: owners.to_a).to_a
 168       end
 169     end
 170
 171     if @include.include?("container_uuid")
 172       @extra_included ||= []
 173       container_uuids = @objects.map { |o|
 174         o.respond_to?(:container_uuid) ? o.container_uuid : nil
 175       }.compact.to_set.to_a
 176       @extra_included += Container.where(uuid: container_uuids).to_a
 177     end
 178
 179     index
 180   end
 181
 182   def self._shared_requires_parameters
 183     rp = self._index_requires_parameters
 184     rp[:include] = { type: 'string', required: false }
 185     rp
 186   end
 187
 188   protected
 189
 190   def load_include_param
 191     @include = params[:include]
 192     if @include.nil? || @include == ""
 193       @include = Set[]
 194     elsif @include.is_a?(String) && @include.start_with?('[')
 195       @include = SafeJSON.load(@include).to_set
 196     elsif @include.is_a?(String)
 197       @include = Set[@include]
 198     else
 199       return send_error("'include' parameter must be a string or array", status: 422)
 200     end
 201   end
 202
 203   def load_searchable_objects
 204     all_objects = []
 205     @items_available = 0
 206
 207     # Reload the orders param, this time without prefixing unqualified
 208     # columns ("name" => "groups.name"). Here, unqualified orders
 209     # apply to each table being searched, not "groups".
 210     load_limit_offset_order_params(fill_table_names: false)
 211
 212     if params['count'] == 'none' and @offset != 0 and (params['last_object_class'].nil? or params['last_object_class'].empty?)
 213       # can't use offset without getting counts, so
 214       # fall back to count=exact behavior.
 215       params['count'] = 'exact'
 216       set_count_none = true
 217     end
 218
 219     # Trick apply_where_limit_order_params into applying suitable
 220     # per-table values. *_all are the real ones we'll apply to the
 221     # aggregate set.
 222     limit_all = @limit
 223     offset_all = @offset
 224     # save the orders from the current request as determined by load_param,
 225     # but otherwise discard them because we're going to be getting objects
 226     # from many models
 227     request_orders = @orders.clone
 228     @orders = []
 229
 230     request_filters = @filters
 231
 232     klasses = [Group, ContainerRequest, Workflow, Collection]
 233
 234     table_names = Hash[klasses.collect { |k| [k, k.table_name] }]
 235
 236     disabled_methods = Rails.configuration.API.DisabledAPIs
 237     avail_klasses = table_names.select{|k, t| !disabled_methods[t+'.index']}
 238     klasses = avail_klasses.keys
 239
 240     request_filters.each do |col, op, val|
 241       if col.index('.') && !table_names.values.include?(col.split('.', 2)[0])
 242         raise ArgumentError.new("Invalid attribute '#{col}' in filter")
 243       end
 244     end
 245
 246     wanted_klasses = []
 247     request_filters.each do |col,op,val|
 248       if op == 'is_a'
 249         (val.is_a?(Array) ? val : [val]).each do |type|
 250           type = type.split('#')[-1]
 251           type[0] = type[0].capitalize
 252           wanted_klasses << type
 253         end
 254       end
 255     end
 256
 257     filter_by_owner = {}
 258     if @object
 259       if params['recursive']
 260         filter_by_owner[:owner_uuid] = [@object.uuid] + @object.descendant_project_uuids
 261       else
 262         filter_by_owner[:owner_uuid] = @object.uuid
 263       end
 264
 265       if params['exclude_home_project']
 266         raise ArgumentError.new "Cannot use 'exclude_home_project' with a parent object"
 267       end
 268     end
 269
 270     # Check that any fields in @select are valid for at least one class
 271     if @select
 272       all_attributes = []
 273       klasses.each do |klass|
 274         all_attributes.concat klass.selectable_attributes
 275       end
 276       if klasses.include?(ContainerRequest) && @include.include?("container_uuid")
 277         all_attributes.concat Container.selectable_attributes
 278       end
 279       @select.each do |check|
 280         if !all_attributes.include? check
 281           raise ArgumentError.new "Invalid attribute '#{check}' in select"
 282         end
 283       end
 284     end
 285     any_selections = @select
 286
 287     included_by_uuid = {}
 288
 289     seen_last_class = false
 290     error_by_class = {}
 291     any_success = false
 292
 293     klasses.each do |klass|
 294       # check if current klass is same as params['last_object_class']
 295       seen_last_class = true if((params['count'].andand.==('none')) and
 296                                 (params['last_object_class'].nil? or
 297                                  params['last_object_class'].empty? or
 298                                  params['last_object_class'] == klass.to_s))
 299
 300       # if klasses are specified, skip all other klass types
 301       next if wanted_klasses.any? and !wanted_klasses.include?(klass.to_s)
 302
 303       # if specified, and count=none, then only look at the klass in
 304       # last_object_class.
 305       # for whatever reason, this parameter exists separately from 'wanted_klasses'
 306       next if params['count'] == 'none' and !seen_last_class
 307
 308       # don't process rest of object types if we already have needed number of objects
 309       break if params['count'] == 'none' and all_objects.size >= limit_all
 310
 311       # If the currently requested orders specifically match the
 312       # table_name for the current klass, apply that order.
 313       # Otherwise, order by recency.
 314       request_order =
 315         request_orders.andand.find { |r| r =~ /^#{klass.table_name}\./i || r !~ /\./ } ||
 316         klass.default_orders.join(", ")
 317
 318       @select = select_for_klass any_selections, klass, false
 319
 320       where_conds = filter_by_owner
 321       if klass == Collection && @select.nil?
 322         @select = klass.selectable_attributes - ["manifest_text", "unsigned_manifest_text"]
 323       elsif klass == Group
 324         where_conds = where_conds.merge(group_class: ["project","filter"])
 325       end
 326
 327       # Make signed manifest_text not selectable because controller
 328       # currently doesn't know to sign it.
 329       if @select
 330         @select = @select - ["manifest_text"]
 331       end
 332
 333       @filters = request_filters.map do |col, op, val|
 334         if !col.index('.')
 335           [col, op, val]
 336         elsif (col = col.split('.', 2))[0] == klass.table_name
 337           [col[1], op, val]
 338         else
 339           nil
 340         end
 341       end.compact
 342
 343       @objects = klass.readable_by(*@read_users, {
 344           :include_trash => params[:include_trash],
 345           :include_old_versions => params[:include_old_versions]
 346         }).order(request_order).where(where_conds)
 347
 348       if params['exclude_home_project']
 349         @objects = exclude_home @objects, klass
 350       end
 351
 352       # Adjust the limit based on number of objects fetched so far
 353       klass_limit = limit_all - all_objects.count
 354       @limit = klass_limit
 355
 356       begin
 357         apply_where_limit_order_params klass
 358       rescue ArgumentError => e
 359         if e.inspect =~ /Invalid attribute '.+' for operator '.+' in filter/ or
 360           e.inspect =~ /Invalid attribute '.+' for subproperty filter/
 361           error_by_class[klass.name] = e
 362           next
 363         end
 364         raise
 365       else
 366         any_success = true
 367       end
 368
 369       # This actually fetches the objects
 370       klass_object_list = object_list(model_class: klass)
 371
 372       # If count=none, :items_available will be nil, and offset is
 373       # required to be 0.
 374       klass_items_available = klass_object_list[:items_available] || 0
 375       @items_available += klass_items_available
 376       @offset = [@offset - klass_items_available, 0].max
 377
 378       # Add objects to the list of objects to be returned.
 379       all_objects += klass_object_list[:items]
 380
 381       if klass_object_list[:limit] < klass_limit
 382         # object_list() had to reduce @limit to comply with
 383         # max_index_database_read. From now on, we'll do all queries
 384         # with limit=0 and just accumulate items_available.
 385         limit_all = all_objects.count
 386       end
 387
 388       if @include.include?("owner_uuid")
 389         owners = klass_object_list[:items].map {|i| i[:owner_uuid]}.to_set
 390         [Group, User].each do |ownerklass|
 391           ownerklass.readable_by(*@read_users).where(uuid: owners.to_a).each do |ow|
 392             included_by_uuid[ow.uuid] = ow
 393           end
 394         end
 395       end
 396
 397       if @include.include?("container_uuid") && klass == ContainerRequest
 398         containers = klass_object_list[:items].collect { |cr| cr[:container_uuid] }.to_set
 399         Container.where(uuid: containers.to_a).each do |c|
 400           included_by_uuid[c.uuid] = c
 401         end
 402       end
 403     end
 404
 405     # Only error out when every searchable object type errored out
 406     if !any_success && error_by_class.size > 0
 407       error_msg = error_by_class.collect do |klass, err|
 408         "#{err} on object type #{klass}"
 409       end.join("\n")
 410       raise ArgumentError.new(error_msg)
 411     end
 412
 413     if !@include.empty?
 414       @extra_included = included_by_uuid.values
 415     end
 416
 417     if set_count_none
 418       params['count'] = 'none'
 419     end
 420
 421     @objects = all_objects
 422     @limit = limit_all
 423     @offset = offset_all
 424   end
 425
 426   def exclude_home objectlist, klass
 427     # select records that are readable by current user AND
 428     #   the owner_uuid is a user (but not the current user) OR
 429     #   the owner_uuid is not readable by the current user
 430     #   the owner_uuid is a group but group_class is not a project
 431
 432     read_parent_check = if current_user.is_admin
 433                           ""
 434                         else
 435                           "NOT EXISTS(SELECT 1 FROM #{PERMISSION_VIEW} WHERE "+
 436                             "user_uuid=(:user_uuid) AND target_uuid=#{klass.table_name}.owner_uuid AND perm_level >= 1) OR "
 437                         end
 438
 439     objectlist.where("#{klass.table_name}.owner_uuid IN (SELECT users.uuid FROM users WHERE users.uuid != (:user_uuid)) OR "+
 440                      read_parent_check+
 441                      "EXISTS(SELECT 1 FROM groups as gp where gp.uuid=#{klass.table_name}.owner_uuid and gp.group_class != 'project')",
 442                      user_uuid: current_user.uuid)
 443   end
 444 end