Merge branch '20640-computed-permissions-api'
[arvados.git] / services / api / test / integration / reader_tokens_test.rb
1 # Copyright (C) The Arvados Authors. All rights reserved.
2 #
3 # SPDX-License-Identifier: AGPL-3.0
4
5 require 'test_helper'
6
7 class ReaderTokensTest < ActionDispatch::IntegrationTest
8   fixtures :all
9
10   def owned_by_foo
11     collections(:collection_owned_by_foo).uuid
12   end
13
14   def get_collections(main_auth, read_auth, formatter=:to_a)
15     params = {}
16     params[:reader_tokens] = [api_token(read_auth)].send(formatter) if read_auth
17     headers = {}
18     headers.merge!(auth(main_auth)) if main_auth
19     get('/arvados/v1/collections', params: params, headers: headers)
20   end
21
22   def get_collection_uuids(main_auth, read_auth, formatter=:to_a)
23     get_collections(main_auth, read_auth, formatter)
24     assert_response :success
25     json_response['items'].map { |spec| spec['uuid'] }
26   end
27
28   def assert_post_denied(main_auth, read_auth, formatter=:to_a)
29     if main_auth
30       headers = auth(main_auth)
31       expected = 403
32     else
33       headers = {}
34       expected = 401
35     end
36     post('/arvados/v1/collections.json',
37       params: {collection: {}, reader_tokens: [api_token(read_auth)].send(formatter)},
38       headers: headers)
39     assert_response expected
40   end
41
42   test "active user can't see foo-owned collection" do
43     # Other tests in this suite assume that the active user doesn't
44     # have read permission to the owned_by_foo collection.
45     # This test checks that this assumption still holds.
46     refute_includes(get_collection_uuids(:active, nil), owned_by_foo,
47                     ["active user can read the owned_by_foo collection",
48                      "other tests will return false positives"].join(" - "))
49   end
50
51   [nil, :active_noscope].each do |main_auth|
52     [:foo, :foo_collections].each do |read_auth|
53       [:to_a, :to_json].each do |formatter|
54         test "#{main_auth.inspect} auth with #{formatter} reader token #{read_auth} can#{"'t" if main_auth} read" do
55           get_collections(main_auth, read_auth)
56           assert_response(if main_auth then 403 else 200 end)
57         end
58
59         test "#{main_auth.inspect} auth with #{formatter} reader token #{read_auth} can't write" do
60           assert_post_denied(main_auth, read_auth, formatter)
61         end
62       end
63     end
64   end
65
66   test "scopes are still limited with reader tokens" do
67     get('/arvados/v1/collections',
68       params: {reader_tokens: [api_token(:foo_collections)]},
69       headers: auth(:active_noscope))
70     assert_response 403
71   end
72
73   test "reader tokens grant no permissions when expired" do
74     get_collections(:active_noscope, :expired)
75     assert_response 403
76   end
77
78   test "reader tokens grant no permissions outside their scope" do
79     refute_includes(get_collection_uuids(:active, :admin_vm), owned_by_foo,
80                     "scoped reader token granted permissions out of scope")
81   end
82 end