Merge branch '16345-check-version-skew'
[arvados.git] / services / api / test / integration / reader_tokens_test.rb
1 # Copyright (C) The Arvados Authors. All rights reserved.
2 #
3 # SPDX-License-Identifier: AGPL-3.0
4
5 require 'test_helper'
6
7 class ReaderTokensTest < ActionDispatch::IntegrationTest
8   fixtures :all
9
10   def spectator_specimen
11     specimens(:owned_by_spectator).uuid
12   end
13
14   def get_specimens(main_auth, read_auth, formatter=:to_a)
15     params = {}
16     params[:reader_tokens] = [api_token(read_auth)].send(formatter) if read_auth
17     headers = {}
18     headers.merge!(auth(main_auth)) if main_auth
19     get('/arvados/v1/specimens', params: params, headers: headers)
20   end
21
22   def get_specimen_uuids(main_auth, read_auth, formatter=:to_a)
23     get_specimens(main_auth, read_auth, formatter)
24     assert_response :success
25     json_response['items'].map { |spec| spec['uuid'] }
26   end
27
28   def assert_post_denied(main_auth, read_auth, formatter=:to_a)
29     if main_auth
30       headers = auth(main_auth)
31       expected = 403
32     else
33       headers = {}
34       expected = 401
35     end
36     post('/arvados/v1/specimens.json',
37       params: {specimen: {}, reader_tokens: [api_token(read_auth)].send(formatter)},
38       headers: headers)
39     assert_response expected
40   end
41
42   test "active user can't see spectator specimen" do
43     # Other tests in this suite assume that the active user doesn't
44     # have read permission to the owned_by_spectator specimen.
45     # This test checks that this assumption still holds.
46     refute_includes(get_specimen_uuids(:active, nil), spectator_specimen,
47                     ["active user can read the owned_by_spectator specimen",
48                      "other tests will return false positives"].join(" - "))
49   end
50
51   [nil, :active_noscope].each do |main_auth|
52     [:spectator, :spectator_specimens].each do |read_auth|
53       [:to_a, :to_json].each do |formatter|
54         test "#{main_auth.inspect} auth with #{formatter} reader token #{read_auth} can#{"'t" if main_auth} read" do
55           get_specimens(main_auth, read_auth)
56           assert_response(if main_auth then 403 else 200 end)
57         end
58
59         test "#{main_auth.inspect} auth with #{formatter} reader token #{read_auth} can't write" do
60           assert_post_denied(main_auth, read_auth, formatter)
61         end
62       end
63     end
64   end
65
66   test "scopes are still limited with reader tokens" do
67     get('/arvados/v1/collections',
68       params: {reader_tokens: [api_token(:spectator_specimens)]},
69       headers: auth(:active_noscope))
70     assert_response 403
71   end
72
73   test "reader tokens grant no permissions when expired" do
74     get_specimens(:active_noscope, :expired)
75     assert_response 403
76   end
77
78   test "reader tokens grant no permissions outside their scope" do
79     refute_includes(get_specimen_uuids(:active, :admin_vm), spectator_specimen,
80                     "scoped reader token granted permissions out of scope")
81   end
82 end