lib/controller/federation/conn.go

   1 // Copyright (C) The Arvados Authors. All rights reserved.
   2 //
   3 // SPDX-License-Identifier: AGPL-3.0
   4
   5 package federation
   6
   7 import (
   8         "bytes"
   9         "context"
  10         "encoding/json"
  11         "errors"
  12         "fmt"
  13         "net/http"
  14         "net/url"
  15         "regexp"
  16         "strings"
  17         "time"
  18
  19         "git.arvados.org/arvados.git/lib/config"
  20         "git.arvados.org/arvados.git/lib/controller/localdb"
  21         "git.arvados.org/arvados.git/lib/controller/rpc"
  22         "git.arvados.org/arvados.git/sdk/go/arvados"
  23         "git.arvados.org/arvados.git/sdk/go/auth"
  24         "git.arvados.org/arvados.git/sdk/go/ctxlog"
  25         "git.arvados.org/arvados.git/sdk/go/health"
  26 )
  27
  28 type Conn struct {
  29         cluster *arvados.Cluster
  30         local   backend
  31         remotes map[string]backend
  32 }
  33
  34 func New(cluster *arvados.Cluster, healthFuncs *map[string]health.Func) *Conn {
  35         local := localdb.NewConn(cluster)
  36         remotes := map[string]backend{}
  37         for id, remote := range cluster.RemoteClusters {
  38                 if !remote.Proxy || id == cluster.ClusterID {
  39                         continue
  40                 }
  41                 conn := rpc.NewConn(id, &url.URL{Scheme: remote.Scheme, Host: remote.Host}, remote.Insecure, saltedTokenProvider(local, id))
  42                 // Older versions of controller rely on the Via header
  43                 // to detect loops.
  44                 conn.SendHeader = http.Header{"Via": {"HTTP/1.1 arvados-controller"}}
  45                 remotes[id] = conn
  46         }
  47
  48         if healthFuncs != nil {
  49                 hf := map[string]health.Func{"vocabulary": local.LastVocabularyError}
  50                 *healthFuncs = hf
  51         }
  52
  53         return &Conn{
  54                 cluster: cluster,
  55                 local:   local,
  56                 remotes: remotes,
  57         }
  58 }
  59
  60 // Return a new rpc.TokenProvider that takes the client-provided
  61 // tokens from an incoming request context, determines whether they
  62 // should (and can) be salted for the given remoteID, and returns the
  63 // resulting tokens.
  64 func saltedTokenProvider(local backend, remoteID string) rpc.TokenProvider {
  65         return func(ctx context.Context) ([]string, error) {
  66                 var tokens []string
  67                 incoming, ok := auth.FromContext(ctx)
  68                 if !ok {
  69                         return nil, errors.New("no token provided")
  70                 }
  71                 for _, token := range incoming.Tokens {
  72                         salted, err := auth.SaltToken(token, remoteID)
  73                         switch err {
  74                         case nil:
  75                                 tokens = append(tokens, salted)
  76                         case auth.ErrSalted:
  77                                 tokens = append(tokens, token)
  78                         case auth.ErrTokenFormat:
  79                                 // pass through unmodified (assume it's an OIDC access token)
  80                                 tokens = append(tokens, token)
  81                         case auth.ErrObsoleteToken:
  82                                 ctx := auth.NewContext(ctx, &auth.Credentials{Tokens: []string{token}})
  83                                 aca, err := local.APIClientAuthorizationCurrent(ctx, arvados.GetOptions{})
  84                                 if errStatus(err) == http.StatusUnauthorized {
  85                                         // pass through unmodified
  86                                         tokens = append(tokens, token)
  87                                         continue
  88                                 } else if err != nil {
  89                                         return nil, err
  90                                 }
  91                                 if strings.HasPrefix(aca.UUID, remoteID) {
  92                                         // We have it cached here, but
  93                                         // the token belongs to the
  94                                         // remote target itself, so
  95                                         // pass it through unmodified.
  96                                         tokens = append(tokens, token)
  97                                         continue
  98                                 }
  99                                 salted, err := auth.SaltToken(aca.TokenV2(), remoteID)
 100                                 if err != nil {
 101                                         return nil, err
 102                                 }
 103                                 tokens = append(tokens, salted)
 104                         default:
 105                                 return nil, err
 106                         }
 107                 }
 108                 return tokens, nil
 109         }
 110 }
 111
 112 // Return suitable backend for a query about the given cluster ID
 113 // ("aaaaa") or object UUID ("aaaaa-dz642-abcdefghijklmno").
 114 func (conn *Conn) chooseBackend(id string) backend {
 115         if len(id) == 27 {
 116                 id = id[:5]
 117         } else if len(id) != 5 {
 118                 // PDH or bogus ID
 119                 return conn.local
 120         }
 121         if id == conn.cluster.ClusterID {
 122                 return conn.local
 123         } else if be, ok := conn.remotes[id]; ok {
 124                 return be
 125         } else {
 126                 // TODO: return an "always error" backend?
 127                 return conn.local
 128         }
 129 }
 130
 131 func (conn *Conn) localOrLoginCluster() backend {
 132         if conn.cluster.Login.LoginCluster != "" {
 133                 return conn.chooseBackend(conn.cluster.Login.LoginCluster)
 134         }
 135         return conn.local
 136 }
 137
 138 // Call fn with the local backend; then, if fn returned 404, call fn
 139 // on the available remote backends (possibly concurrently) until one
 140 // succeeds.
 141 //
 142 // The second argument to fn is the cluster ID of the remote backend,
 143 // or "" for the local backend.
 144 //
 145 // A non-nil error means all backends failed.
 146 func (conn *Conn) tryLocalThenRemotes(ctx context.Context, forwardedFor string, fn func(context.Context, string, backend) error) error {
 147         if err := fn(ctx, "", conn.local); err == nil || errStatus(err) != http.StatusNotFound || forwardedFor != "" {
 148                 // Note: forwardedFor != "" means this request came
 149                 // from a remote cluster, so we don't take a second
 150                 // hop. This avoids cycles, redundant calls to a
 151                 // mutually reachable remote, and use of double-salted
 152                 // tokens.
 153                 return err
 154         }
 155
 156         ctx, cancel := context.WithCancel(ctx)
 157         defer cancel()
 158         errchan := make(chan error, len(conn.remotes))
 159         for remoteID, be := range conn.remotes {
 160                 remoteID, be := remoteID, be
 161                 go func() {
 162                         errchan <- fn(ctx, remoteID, be)
 163                 }()
 164         }
 165         all404 := true
 166         var errs []error
 167         for i := 0; i < cap(errchan); i++ {
 168                 err := <-errchan
 169                 if err == nil {
 170                         return nil
 171                 }
 172                 all404 = all404 && errStatus(err) == http.StatusNotFound
 173                 errs = append(errs, err)
 174         }
 175         if all404 {
 176                 return notFoundError{}
 177         }
 178         return httpErrorf(http.StatusBadGateway, "errors: %v", errs)
 179 }
 180
 181 func (conn *Conn) CollectionCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Collection, error) {
 182         return conn.chooseBackend(options.ClusterID).CollectionCreate(ctx, options)
 183 }
 184
 185 func (conn *Conn) CollectionUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Collection, error) {
 186         return conn.chooseBackend(options.UUID).CollectionUpdate(ctx, options)
 187 }
 188
 189 func rewriteManifest(mt, remoteID string) string {
 190         return regexp.MustCompile(` [0-9a-f]{32}\+[^ ]*`).ReplaceAllStringFunc(mt, func(tok string) string {
 191                 return strings.Replace(tok, "+A", "+R"+remoteID+"-", -1)
 192         })
 193 }
 194
 195 func (conn *Conn) ConfigGet(ctx context.Context) (json.RawMessage, error) {
 196         var buf bytes.Buffer
 197         err := config.ExportJSON(&buf, conn.cluster)
 198         return json.RawMessage(buf.Bytes()), err
 199 }
 200
 201 func (conn *Conn) VocabularyGet(ctx context.Context) (arvados.Vocabulary, error) {
 202         return conn.chooseBackend(conn.cluster.ClusterID).VocabularyGet(ctx)
 203 }
 204
 205 func (conn *Conn) Login(ctx context.Context, options arvados.LoginOptions) (arvados.LoginResponse, error) {
 206         if id := conn.cluster.Login.LoginCluster; id != "" && id != conn.cluster.ClusterID {
 207                 // defer entire login procedure to designated cluster
 208                 remote, ok := conn.remotes[id]
 209                 if !ok {
 210                         return arvados.LoginResponse{}, fmt.Errorf("configuration problem: designated login cluster %q is not defined", id)
 211                 }
 212                 baseURL := remote.BaseURL()
 213                 target, err := baseURL.Parse(arvados.EndpointLogin.Path)
 214                 if err != nil {
 215                         return arvados.LoginResponse{}, fmt.Errorf("internal error getting redirect target: %s", err)
 216                 }
 217                 params := url.Values{
 218                         "return_to": []string{options.ReturnTo},
 219                 }
 220                 if options.Remote != "" {
 221                         params.Set("remote", options.Remote)
 222                 }
 223                 target.RawQuery = params.Encode()
 224                 return arvados.LoginResponse{
 225                         RedirectLocation: target.String(),
 226                 }, nil
 227         }
 228         return conn.local.Login(ctx, options)
 229 }
 230
 231 func (conn *Conn) Logout(ctx context.Context, options arvados.LogoutOptions) (arvados.LogoutResponse, error) {
 232         // If the logout request comes with an API token from a known
 233         // remote cluster, redirect to that cluster's logout handler
 234         // so it has an opportunity to clear sessions, expire tokens,
 235         // etc. Otherwise use the local endpoint.
 236         reqauth, ok := auth.FromContext(ctx)
 237         if !ok || len(reqauth.Tokens) == 0 || len(reqauth.Tokens[0]) < 8 || !strings.HasPrefix(reqauth.Tokens[0], "v2/") {
 238                 return conn.local.Logout(ctx, options)
 239         }
 240         id := reqauth.Tokens[0][3:8]
 241         if id == conn.cluster.ClusterID {
 242                 return conn.local.Logout(ctx, options)
 243         }
 244         remote, ok := conn.remotes[id]
 245         if !ok {
 246                 return conn.local.Logout(ctx, options)
 247         }
 248         baseURL := remote.BaseURL()
 249         target, err := baseURL.Parse(arvados.EndpointLogout.Path)
 250         if err != nil {
 251                 return arvados.LogoutResponse{}, fmt.Errorf("internal error getting redirect target: %s", err)
 252         }
 253         target.RawQuery = url.Values{"return_to": {options.ReturnTo}}.Encode()
 254         return arvados.LogoutResponse{RedirectLocation: target.String()}, nil
 255 }
 256
 257 func (conn *Conn) CollectionGet(ctx context.Context, options arvados.GetOptions) (arvados.Collection, error) {
 258         if len(options.UUID) == 27 {
 259                 // UUID is really a UUID
 260                 c, err := conn.chooseBackend(options.UUID).CollectionGet(ctx, options)
 261                 if err == nil && options.UUID[:5] != conn.cluster.ClusterID {
 262                         c.ManifestText = rewriteManifest(c.ManifestText, options.UUID[:5])
 263                 }
 264                 return c, err
 265         }
 266         // UUID is a PDH
 267         first := make(chan arvados.Collection, 1)
 268         err := conn.tryLocalThenRemotes(ctx, options.ForwardedFor, func(ctx context.Context, remoteID string, be backend) error {
 269                 remoteOpts := options
 270                 remoteOpts.ForwardedFor = conn.cluster.ClusterID + "-" + options.ForwardedFor
 271                 c, err := be.CollectionGet(ctx, remoteOpts)
 272                 if err != nil {
 273                         return err
 274                 }
 275                 haveManifest := true
 276                 if options.Select != nil {
 277                         haveManifest = false
 278                         for _, s := range options.Select {
 279                                 if s == "manifest_text" {
 280                                         haveManifest = true
 281                                         break
 282                                 }
 283                         }
 284                 }
 285                 if haveManifest {
 286                         pdh := arvados.PortableDataHash(c.ManifestText)
 287                         // options.UUID is either hash+size or
 288                         // hash+size+hints; only hash+size need to
 289                         // match the computed PDH.
 290                         if pdh != options.UUID && !strings.HasPrefix(options.UUID, pdh+"+") {
 291                                 err = httpErrorf(http.StatusBadGateway, "bad portable data hash %q received from remote %q (expected %q)", pdh, remoteID, options.UUID)
 292                                 ctxlog.FromContext(ctx).Warn(err)
 293                                 return err
 294                         }
 295                 }
 296                 if remoteID != "" {
 297                         c.ManifestText = rewriteManifest(c.ManifestText, remoteID)
 298                 }
 299                 select {
 300                 case first <- c:
 301                         return nil
 302                 default:
 303                         // lost race, return value doesn't matter
 304                         return nil
 305                 }
 306         })
 307         if err != nil {
 308                 return arvados.Collection{}, err
 309         }
 310         return <-first, nil
 311 }
 312
 313 func (conn *Conn) CollectionList(ctx context.Context, options arvados.ListOptions) (arvados.CollectionList, error) {
 314         return conn.generated_CollectionList(ctx, options)
 315 }
 316
 317 func (conn *Conn) CollectionProvenance(ctx context.Context, options arvados.GetOptions) (map[string]interface{}, error) {
 318         return conn.chooseBackend(options.UUID).CollectionProvenance(ctx, options)
 319 }
 320
 321 func (conn *Conn) CollectionUsedBy(ctx context.Context, options arvados.GetOptions) (map[string]interface{}, error) {
 322         return conn.chooseBackend(options.UUID).CollectionUsedBy(ctx, options)
 323 }
 324
 325 func (conn *Conn) CollectionDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Collection, error) {
 326         return conn.chooseBackend(options.UUID).CollectionDelete(ctx, options)
 327 }
 328
 329 func (conn *Conn) CollectionTrash(ctx context.Context, options arvados.DeleteOptions) (arvados.Collection, error) {
 330         return conn.chooseBackend(options.UUID).CollectionTrash(ctx, options)
 331 }
 332
 333 func (conn *Conn) CollectionUntrash(ctx context.Context, options arvados.UntrashOptions) (arvados.Collection, error) {
 334         return conn.chooseBackend(options.UUID).CollectionUntrash(ctx, options)
 335 }
 336
 337 func (conn *Conn) ContainerList(ctx context.Context, options arvados.ListOptions) (arvados.ContainerList, error) {
 338         return conn.generated_ContainerList(ctx, options)
 339 }
 340
 341 func (conn *Conn) ContainerCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Container, error) {
 342         return conn.chooseBackend(options.ClusterID).ContainerCreate(ctx, options)
 343 }
 344
 345 func (conn *Conn) ContainerUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Container, error) {
 346         return conn.chooseBackend(options.UUID).ContainerUpdate(ctx, options)
 347 }
 348
 349 func (conn *Conn) ContainerGet(ctx context.Context, options arvados.GetOptions) (arvados.Container, error) {
 350         return conn.chooseBackend(options.UUID).ContainerGet(ctx, options)
 351 }
 352
 353 func (conn *Conn) ContainerDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Container, error) {
 354         return conn.chooseBackend(options.UUID).ContainerDelete(ctx, options)
 355 }
 356
 357 func (conn *Conn) ContainerLock(ctx context.Context, options arvados.GetOptions) (arvados.Container, error) {
 358         return conn.chooseBackend(options.UUID).ContainerLock(ctx, options)
 359 }
 360
 361 func (conn *Conn) ContainerUnlock(ctx context.Context, options arvados.GetOptions) (arvados.Container, error) {
 362         return conn.chooseBackend(options.UUID).ContainerUnlock(ctx, options)
 363 }
 364
 365 func (conn *Conn) ContainerSSH(ctx context.Context, options arvados.ContainerSSHOptions) (arvados.ContainerSSHConnection, error) {
 366         return conn.chooseBackend(options.UUID).ContainerSSH(ctx, options)
 367 }
 368
 369 func (conn *Conn) ContainerRequestList(ctx context.Context, options arvados.ListOptions) (arvados.ContainerRequestList, error) {
 370         return conn.generated_ContainerRequestList(ctx, options)
 371 }
 372
 373 func (conn *Conn) ContainerRequestCreate(ctx context.Context, options arvados.CreateOptions) (arvados.ContainerRequest, error) {
 374         be := conn.chooseBackend(options.ClusterID)
 375         if be == conn.local {
 376                 return be.ContainerRequestCreate(ctx, options)
 377         }
 378         if _, ok := options.Attrs["runtime_token"]; !ok {
 379                 // If runtime_token is not set, create a new token
 380                 aca, err := conn.local.APIClientAuthorizationCurrent(ctx, arvados.GetOptions{})
 381                 if err != nil {
 382                         // This should probably be StatusUnauthorized
 383                         // (need to update test in
 384                         // lib/controller/federation_test.go):
 385                         // When RoR is out of the picture this should be:
 386                         // return arvados.ContainerRequest{}, httpErrorf(http.StatusUnauthorized, "%w", err)
 387                         return arvados.ContainerRequest{}, httpErrorf(http.StatusForbidden, "%s", "invalid API token")
 388                 }
 389                 user, err := conn.local.UserGetCurrent(ctx, arvados.GetOptions{})
 390                 if err != nil {
 391                         return arvados.ContainerRequest{}, err
 392                 }
 393                 if len(aca.Scopes) == 0 || aca.Scopes[0] != "all" {
 394                         return arvados.ContainerRequest{}, httpErrorf(http.StatusForbidden, "token scope is not [all]")
 395                 }
 396                 if strings.HasPrefix(aca.UUID, conn.cluster.ClusterID) {
 397                         // Local user, submitting to a remote cluster.
 398                         // Create a new time-limited token.
 399                         local, ok := conn.local.(*localdb.Conn)
 400                         if !ok {
 401                                 return arvados.ContainerRequest{}, httpErrorf(http.StatusInternalServerError, "bug: local backend is a %T, not a *localdb.Conn", conn.local)
 402                         }
 403                         aca, err = local.CreateAPIClientAuthorization(ctx, conn.cluster.SystemRootToken, rpc.UserSessionAuthInfo{UserUUID: user.UUID,
 404                                 ExpiresAt: time.Now().UTC().Add(conn.cluster.Collections.BlobSigningTTL.Duration())})
 405                         if err != nil {
 406                                 return arvados.ContainerRequest{}, err
 407                         }
 408                         options.Attrs["runtime_token"] = aca.TokenV2()
 409                 } else {
 410                         // Remote user. Container request will use the
 411                         // current token, minus the trailing portion
 412                         // (optional container uuid).
 413                         options.Attrs["runtime_token"] = aca.TokenV2()
 414                 }
 415         }
 416         return be.ContainerRequestCreate(ctx, options)
 417 }
 418
 419 func (conn *Conn) ContainerRequestUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.ContainerRequest, error) {
 420         return conn.chooseBackend(options.UUID).ContainerRequestUpdate(ctx, options)
 421 }
 422
 423 func (conn *Conn) ContainerRequestGet(ctx context.Context, options arvados.GetOptions) (arvados.ContainerRequest, error) {
 424         return conn.chooseBackend(options.UUID).ContainerRequestGet(ctx, options)
 425 }
 426
 427 func (conn *Conn) ContainerRequestDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.ContainerRequest, error) {
 428         return conn.chooseBackend(options.UUID).ContainerRequestDelete(ctx, options)
 429 }
 430
 431 func (conn *Conn) GroupCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Group, error) {
 432         return conn.chooseBackend(options.ClusterID).GroupCreate(ctx, options)
 433 }
 434
 435 func (conn *Conn) GroupUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Group, error) {
 436         return conn.chooseBackend(options.UUID).GroupUpdate(ctx, options)
 437 }
 438
 439 func (conn *Conn) GroupGet(ctx context.Context, options arvados.GetOptions) (arvados.Group, error) {
 440         return conn.chooseBackend(options.UUID).GroupGet(ctx, options)
 441 }
 442
 443 func (conn *Conn) GroupList(ctx context.Context, options arvados.ListOptions) (arvados.GroupList, error) {
 444         return conn.generated_GroupList(ctx, options)
 445 }
 446
 447 var userUuidRe = regexp.MustCompile(`^[0-9a-z]{5}-tpzed-[0-9a-z]{15}$`)
 448
 449 func (conn *Conn) GroupContents(ctx context.Context, options arvados.GroupContentsOptions) (arvados.ObjectList, error) {
 450         if options.ClusterID != "" {
 451                 // explicitly selected cluster
 452                 return conn.chooseBackend(options.ClusterID).GroupContents(ctx, options)
 453         } else if userUuidRe.MatchString(options.UUID) {
 454                 // user, get the things they own on the local cluster
 455                 return conn.local.GroupContents(ctx, options)
 456         } else {
 457                 // a group, potentially want to make federated request
 458                 return conn.chooseBackend(options.UUID).GroupContents(ctx, options)
 459         }
 460 }
 461
 462 func (conn *Conn) GroupShared(ctx context.Context, options arvados.ListOptions) (arvados.GroupList, error) {
 463         return conn.chooseBackend(options.ClusterID).GroupShared(ctx, options)
 464 }
 465
 466 func (conn *Conn) GroupDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Group, error) {
 467         return conn.chooseBackend(options.UUID).GroupDelete(ctx, options)
 468 }
 469
 470 func (conn *Conn) GroupTrash(ctx context.Context, options arvados.DeleteOptions) (arvados.Group, error) {
 471         return conn.chooseBackend(options.UUID).GroupTrash(ctx, options)
 472 }
 473
 474 func (conn *Conn) GroupUntrash(ctx context.Context, options arvados.UntrashOptions) (arvados.Group, error) {
 475         return conn.chooseBackend(options.UUID).GroupUntrash(ctx, options)
 476 }
 477
 478 func (conn *Conn) LinkCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Link, error) {
 479         return conn.chooseBackend(options.ClusterID).LinkCreate(ctx, options)
 480 }
 481
 482 func (conn *Conn) LinkUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Link, error) {
 483         return conn.chooseBackend(options.UUID).LinkUpdate(ctx, options)
 484 }
 485
 486 func (conn *Conn) LinkGet(ctx context.Context, options arvados.GetOptions) (arvados.Link, error) {
 487         return conn.chooseBackend(options.UUID).LinkGet(ctx, options)
 488 }
 489
 490 func (conn *Conn) LinkList(ctx context.Context, options arvados.ListOptions) (arvados.LinkList, error) {
 491         return conn.generated_LinkList(ctx, options)
 492 }
 493
 494 func (conn *Conn) LinkDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Link, error) {
 495         return conn.chooseBackend(options.UUID).LinkDelete(ctx, options)
 496 }
 497
 498 func (conn *Conn) SpecimenList(ctx context.Context, options arvados.ListOptions) (arvados.SpecimenList, error) {
 499         return conn.generated_SpecimenList(ctx, options)
 500 }
 501
 502 func (conn *Conn) SpecimenCreate(ctx context.Context, options arvados.CreateOptions) (arvados.Specimen, error) {
 503         return conn.chooseBackend(options.ClusterID).SpecimenCreate(ctx, options)
 504 }
 505
 506 func (conn *Conn) SpecimenUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.Specimen, error) {
 507         return conn.chooseBackend(options.UUID).SpecimenUpdate(ctx, options)
 508 }
 509
 510 func (conn *Conn) SpecimenGet(ctx context.Context, options arvados.GetOptions) (arvados.Specimen, error) {
 511         return conn.chooseBackend(options.UUID).SpecimenGet(ctx, options)
 512 }
 513
 514 func (conn *Conn) SpecimenDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.Specimen, error) {
 515         return conn.chooseBackend(options.UUID).SpecimenDelete(ctx, options)
 516 }
 517
 518 var userAttrsCachedFromLoginCluster = map[string]bool{
 519         "created_at":  true,
 520         "email":       true,
 521         "first_name":  true,
 522         "is_active":   true,
 523         "is_admin":    true,
 524         "last_name":   true,
 525         "modified_at": true,
 526         "prefs":       true,
 527         "username":    true,
 528         "kind":        true,
 529
 530         "etag":                    false,
 531         "full_name":               false,
 532         "identity_url":            false,
 533         "is_invited":              false,
 534         "modified_by_client_uuid": false,
 535         "modified_by_user_uuid":   false,
 536         "owner_uuid":              false,
 537         "uuid":                    false,
 538         "writable_by":             false,
 539 }
 540
 541 func (conn *Conn) batchUpdateUsers(ctx context.Context,
 542         options arvados.ListOptions,
 543         items []arvados.User) (err error) {
 544
 545         id := conn.cluster.Login.LoginCluster
 546         logger := ctxlog.FromContext(ctx)
 547         batchOpts := arvados.UserBatchUpdateOptions{Updates: map[string]map[string]interface{}{}}
 548         for _, user := range items {
 549                 if !strings.HasPrefix(user.UUID, id) {
 550                         continue
 551                 }
 552                 logger.Debugf("cache user info for uuid %q", user.UUID)
 553
 554                 // If the remote cluster has null timestamps
 555                 // (e.g., test server with incomplete
 556                 // fixtures) use dummy timestamps (instead of
 557                 // the zero time, which causes a Rails API
 558                 // error "year too big to marshal: 1 UTC").
 559                 if user.ModifiedAt.IsZero() {
 560                         user.ModifiedAt = time.Now()
 561                 }
 562                 if user.CreatedAt.IsZero() {
 563                         user.CreatedAt = time.Now()
 564                 }
 565
 566                 var allFields map[string]interface{}
 567                 buf, err := json.Marshal(user)
 568                 if err != nil {
 569                         return fmt.Errorf("error encoding user record from remote response: %s", err)
 570                 }
 571                 err = json.Unmarshal(buf, &allFields)
 572                 if err != nil {
 573                         return fmt.Errorf("error transcoding user record from remote response: %s", err)
 574                 }
 575                 updates := allFields
 576                 if len(options.Select) > 0 {
 577                         updates = map[string]interface{}{}
 578                         for _, k := range options.Select {
 579                                 if v, ok := allFields[k]; ok && userAttrsCachedFromLoginCluster[k] {
 580                                         updates[k] = v
 581                                 }
 582                         }
 583                 } else {
 584                         for k := range updates {
 585                                 if !userAttrsCachedFromLoginCluster[k] {
 586                                         delete(updates, k)
 587                                 }
 588                         }
 589                 }
 590                 batchOpts.Updates[user.UUID] = updates
 591         }
 592         if len(batchOpts.Updates) > 0 {
 593                 ctxRoot := auth.NewContext(ctx, &auth.Credentials{Tokens: []string{conn.cluster.SystemRootToken}})
 594                 _, err = conn.local.UserBatchUpdate(ctxRoot, batchOpts)
 595                 if err != nil {
 596                         return fmt.Errorf("error updating local user records: %s", err)
 597                 }
 598         }
 599         return nil
 600 }
 601
 602 func (conn *Conn) UserList(ctx context.Context, options arvados.ListOptions) (arvados.UserList, error) {
 603         if id := conn.cluster.Login.LoginCluster; id != "" && id != conn.cluster.ClusterID && !options.BypassFederation {
 604                 resp, err := conn.chooseBackend(id).UserList(ctx, options)
 605                 if err != nil {
 606                         return resp, err
 607                 }
 608                 err = conn.batchUpdateUsers(ctx, options, resp.Items)
 609                 if err != nil {
 610                         return arvados.UserList{}, err
 611                 }
 612                 return resp, nil
 613         }
 614         return conn.generated_UserList(ctx, options)
 615 }
 616
 617 func (conn *Conn) UserCreate(ctx context.Context, options arvados.CreateOptions) (arvados.User, error) {
 618         return conn.chooseBackend(options.ClusterID).UserCreate(ctx, options)
 619 }
 620
 621 func (conn *Conn) UserUpdate(ctx context.Context, options arvados.UpdateOptions) (arvados.User, error) {
 622         if options.BypassFederation {
 623                 return conn.local.UserUpdate(ctx, options)
 624         }
 625         resp, err := conn.chooseBackend(options.UUID).UserUpdate(ctx, options)
 626         if err != nil {
 627                 return resp, err
 628         }
 629         if !strings.HasPrefix(options.UUID, conn.cluster.ClusterID) {
 630                 // Copy the updated user record to the local cluster
 631                 err = conn.batchUpdateUsers(ctx, arvados.ListOptions{}, []arvados.User{resp})
 632                 if err != nil {
 633                         return arvados.User{}, err
 634                 }
 635         }
 636         return resp, err
 637 }
 638
 639 func (conn *Conn) UserMerge(ctx context.Context, options arvados.UserMergeOptions) (arvados.User, error) {
 640         return conn.local.UserMerge(ctx, options)
 641 }
 642
 643 func (conn *Conn) UserActivate(ctx context.Context, options arvados.UserActivateOptions) (arvados.User, error) {
 644         return conn.localOrLoginCluster().UserActivate(ctx, options)
 645 }
 646
 647 func (conn *Conn) UserSetup(ctx context.Context, options arvados.UserSetupOptions) (map[string]interface{}, error) {
 648         upstream := conn.localOrLoginCluster()
 649         if upstream != conn.local {
 650                 // When LoginCluster is in effect, and we're setting
 651                 // up a remote user, and we want to give that user
 652                 // access to a local VM, we can't include the VM in
 653                 // the setup call, because the remote cluster won't
 654                 // recognize it.
 655
 656                 // Similarly, if we want to create a git repo,
 657                 // it should be created on the local cluster,
 658                 // not the remote one.
 659
 660                 upstreamOptions := options
 661                 upstreamOptions.VMUUID = ""
 662                 upstreamOptions.RepoName = ""
 663
 664                 ret, err := upstream.UserSetup(ctx, upstreamOptions)
 665                 if err != nil {
 666                         return ret, err
 667                 }
 668         }
 669
 670         return conn.local.UserSetup(ctx, options)
 671 }
 672
 673 func (conn *Conn) UserUnsetup(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 674         return conn.localOrLoginCluster().UserUnsetup(ctx, options)
 675 }
 676
 677 func (conn *Conn) UserGet(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 678         resp, err := conn.chooseBackend(options.UUID).UserGet(ctx, options)
 679         if err != nil {
 680                 return resp, err
 681         }
 682         if options.UUID != resp.UUID {
 683                 return arvados.User{}, httpErrorf(http.StatusBadGateway, "Had requested %v but response was for %v", options.UUID, resp.UUID)
 684         }
 685         if options.UUID[:5] != conn.cluster.ClusterID {
 686                 err = conn.batchUpdateUsers(ctx, arvados.ListOptions{Select: options.Select}, []arvados.User{resp})
 687                 if err != nil {
 688                         return arvados.User{}, err
 689                 }
 690         }
 691         return resp, nil
 692 }
 693
 694 func (conn *Conn) UserGetCurrent(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 695         return conn.local.UserGetCurrent(ctx, options)
 696 }
 697
 698 func (conn *Conn) UserGetSystem(ctx context.Context, options arvados.GetOptions) (arvados.User, error) {
 699         return conn.chooseBackend(options.UUID).UserGetSystem(ctx, options)
 700 }
 701
 702 func (conn *Conn) UserDelete(ctx context.Context, options arvados.DeleteOptions) (arvados.User, error) {
 703         return conn.chooseBackend(options.UUID).UserDelete(ctx, options)
 704 }
 705
 706 func (conn *Conn) UserBatchUpdate(ctx context.Context, options arvados.UserBatchUpdateOptions) (arvados.UserList, error) {
 707         return conn.local.UserBatchUpdate(ctx, options)
 708 }
 709
 710 func (conn *Conn) UserAuthenticate(ctx context.Context, options arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error) {
 711         return conn.local.UserAuthenticate(ctx, options)
 712 }
 713
 714 func (conn *Conn) APIClientAuthorizationCurrent(ctx context.Context, options arvados.GetOptions) (arvados.APIClientAuthorization, error) {
 715         return conn.chooseBackend(options.UUID).APIClientAuthorizationCurrent(ctx, options)
 716 }
 717
 718 type backend interface {
 719         arvados.API
 720         BaseURL() url.URL
 721 }
 722
 723 type notFoundError struct{}
 724
 725 func (notFoundError) HTTPStatus() int { return http.StatusNotFound }
 726 func (notFoundError) Error() string   { return "not found" }
 727
 728 func errStatus(err error) int {
 729         if httpErr, ok := err.(interface{ HTTPStatus() int }); ok {
 730                 return httpErr.HTTPStatus()
 731         }
 732         return http.StatusInternalServerError
 733 }