projects / arvados.git / blob
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
11454: Conditional login to remote API servers.
[arvados.git] / apps / workbench / app / assets / javascripts / models / session_db.js
1 // Copyright (C) The Arvados Authors. All rights reserved.
2 //
3 // SPDX-License-Identifier: AGPL-3.0
4
5 window.SessionDB = function(rhosts) {
6     var db = this
7     Object.assign(db, {
8         remoteHosts: rhosts || [],
9         discoveryCache: {},
10         loadFromLocalStorage: function() {
11             try {
12                 return JSON.parse(window.localStorage.getItem('sessions')) || {}
13             } catch(e) {}
14             return {}
15         },
16         loadAll: function() {
17             var all = db.loadFromLocalStorage()
18             if (window.defaultSession) {
19                 window.defaultSession.isFromRails = true
20                 all[window.defaultSession.user.uuid.slice(0, 5)] = window.defaultSession
21             }
22             return all
23         },
24         loadActive: function() {
25             var sessions = db.loadAll()
26             Object.keys(sessions).forEach(function(key) {
27                 if (!sessions[key].token)
28                     delete sessions[key]
29             })
30             return sessions
31         },
32         loadLocal: function() {
33             var sessions = db.loadActive()
34             var s = false
35             Object.values(sessions).forEach(function(session) {
36                 if (session.isFromRails) {
37                     s = session
38                     return
39                 }
40             })
41             return s
42         },
43         save: function(k, v) {
44             var sessions = db.loadAll()
45             sessions[k] = v
46             Object.keys(sessions).forEach(function(key) {
47                 if (sessions[key].isFromRails)
48                     delete sessions[key]
49             })
50             window.localStorage.setItem('sessions', JSON.stringify(sessions))
51         },
52         trash: function(k) {
53             var sessions = db.loadAll()
54             delete sessions[k]
55             window.localStorage.setItem('sessions', JSON.stringify(sessions))
56         },
57         findAPI: function(url) {
58             // Given a Workbench or API host or URL, return a promise
59             // for the corresponding API server's base URL.  Typical
60             // use:
61             // sessionDB.findAPI('https://workbench.example/foo').then(sessionDB.login)
62             if (url.indexOf('://') < 0)
63                 url = 'https://' + url
64             url = new URL(url)
65             return m.request(url.origin + '/discovery/v1/apis/arvados/v1/rest').then(function() {
66                 return url.origin + '/'
67             }).catch(function(err) {
68                 // If url is a Workbench site (and isn't too old),
69                 // /status.json will tell us its API host.
70                 return m.request(url.origin + '/status.json').then(function(resp) {
71                     if (!resp.apiBaseURL)
72                         throw 'no apiBaseURL in status response'
73                     return resp.apiBaseURL
74                 })
75             })
76         },
77         login: function(baseURL) {
78             // Initiate login procedure with given API base URL (e.g.,
79             // "http://api.example/").
80             //
81             // Any page that has a button that invokes login() must
82             // also call checkForNewToken() on (at least) its first
83             // render. Otherwise, the login procedure can't be
84             // completed.
85             var session = db.loadLocal()
86             var uuidPrefix = session.user.owner_uuid.slice(0, 5)
87             var apiHostname = new URL(session.baseURL).hostname
88             m.request(baseURL+'discovery/v1/apis/arvados/v1/rest').then(function(dd) {
89                 if (uuidPrefix in dd.remoteHosts ||
90                     (dd.remoteHostsViaDNS && apiHostname.indexOf('arvadosapi.com') >= 0)) {
91                     // Federated identity login via salted token
92                     db.saltedToken(dd.uuidPrefix).then(function(token) {
93                         document.location = baseURL + 'login?return_to=' + encodeURIComponent(document.location.href.replace(/\?.*/, '')+'?baseURL='+encodeURIComponent(baseURL)) + '&api_token='+encodeURIComponent(token)
94                     })
95                 } else {
96                     // Classic login
97                     document.location = baseURL + 'login?return_to=' + encodeURIComponent(document.location.href.replace(/\?.*/, '')+'?baseURL='+encodeURIComponent(baseURL))
98                 }
99             })
100             return false
101         },
102         logout: function(k) {
103             // Forget the token, but leave the other info in the db so
104             // the user can log in again without providing the login
105             // host again.
106             var sessions = db.loadAll()
107             delete sessions[k].token
108             db.save(k, sessions[k])
109         },
110         saltedToken: function(uuid_prefix) {
111             // Takes a cluster UUID prefix and returns a salted token to allow
112             // log into said cluster using federated identity.
113             var session = db.loadLocal()
114             return db.request(session, '/arvados/v1/api_client_authorizations', {
115                 data: {
116                     filters: JSON.stringify([['api_token', '=', session.token]]),
117                 }
118             }).then(function(resp) {
119                 if (resp.items.length == 1) {
120                     var token_uuid = resp.items[0].uuid
121                     if (token_uuid.length !== '') {
122                         var shaObj = new jsSHA("SHA-1", "TEXT")
123                         shaObj.setHMACKey(session.token, "TEXT")
124                         shaObj.update(uuid_prefix)
125                         var hmac = shaObj.getHMAC("HEX")
126                         return 'v2/' + token_uuid + '/' + hmac
127                     } else { return null }
128                 }
129             }).catch(function(err) { return null })
130         },
131         checkForNewToken: function() {
132             // If there's a token and baseURL in the location bar (i.e.,
133             // we just landed here after a successful login), save it and
134             // scrub the location bar.
135             if (document.location.search[0] != '?')
136                 return
137             var params = {}
138             document.location.search.slice(1).split('&').map(function(kv) {
139                 var e = kv.indexOf('=')
140                 if (e < 0)
141                     return
142                 params[decodeURIComponent(kv.slice(0, e))] = decodeURIComponent(kv.slice(e+1))
143             })
144             if (!params.baseURL || !params.api_token)
145                 // Have a query string, but it's not a login callback.
146                 return
147             params.token = params.api_token
148             delete params.api_token
149             db.save(params.baseURL, params)
150             history.replaceState({}, '', document.location.origin + document.location.pathname)
151         },
152         fillMissingUUIDs: function() {
153             var sessions = db.loadAll()
154             Object.keys(sessions).map(function(key) {
155                 if (key.indexOf('://') < 0)
156                     return
157                 // key is the baseURL placeholder. We need to get our user
158                 // record to find out the cluster's real uuid prefix.
159                 var session = sessions[key]
160                 m.request(session.baseURL+'arvados/v1/users/current', {
161                     headers: {
162                         authorization: 'OAuth2 '+session.token,
163                     },
164                 }).then(function(user) {
165                     session.user = user
166                     db.save(user.owner_uuid.slice(0, 5), session)
167                     db.trash(key)
168                 })
169             })
170         },
171         // Return the Workbench base URL advertised by the session's
172         // API server, or a reasonable guess, or (if neither strategy
173         // works out) null.
174         workbenchBaseURL: function(session) {
175             var dd = db.discoveryDoc(session)()
176             if (!dd)
177                 // Don't fall back to guessing until we receive the discovery doc
178                 return null
179             if (dd.workbenchUrl)
180                 return dd.workbenchUrl
181             // Guess workbench.{apihostport} is a Workbench... unless
182             // the host part of apihostport is an IPv4 or [IPv6]
183             // address.
184             if (!session.baseURL.match('://(\\[|\\d+\\.\\d+\\.\\d+\\.\\d+[:/])')) {
185                 var wbUrl = session.baseURL.replace('://', '://workbench.')
186                 // Remove the trailing slash, if it's there.
187                 return wbUrl.slice(-1) == '/' ? wbUrl.slice(0, -1) : wbUrl
188             }
189             return null
190         },
191         // Return a m.stream that will get fulfilled with the
192         // discovery doc from a session's API server.
193         discoveryDoc: function(session) {
194             var cache = db.discoveryCache[session.baseURL]
195             if (!cache) {
196                 db.discoveryCache[session.baseURL] = cache = m.stream()
197                 m.request(session.baseURL+'discovery/v1/apis/arvados/v1/rest').then(cache)
198             }
199             return cache
200         },
201         request: function(session, path, opts) {
202             opts = opts || {}
203             opts.headers = opts.headers || {}
204             opts.headers.authorization = 'OAuth2 '+ session.token
205             return m.request(session.baseURL + path, opts)
206         },
207     })
208 }