services/api/app/controllers/arvados/v1/groups_controller.rb

   1 # Copyright (C) The Arvados Authors. All rights reserved.
   2 #
   3 # SPDX-License-Identifier: AGPL-3.0
   4
   5 require "trashable"
   6
   7 class Arvados::V1::GroupsController < ApplicationController
   8   include TrashableController
   9
  10   skip_before_action :find_object_by_uuid, only: :shared
  11   skip_before_action :render_404_if_no_object, only: :shared
  12
  13   def self._index_requires_parameters
  14     (super rescue {}).
  15       merge({
  16         include_trash: {
  17           type: 'boolean', required: false, default: false, description: "Include items whose is_trashed attribute is true.",
  18         },
  19       })
  20   end
  21
  22   def self._show_requires_parameters
  23     (super rescue {}).
  24       merge({
  25         include_trash: {
  26           type: 'boolean', required: false, default: false, description: "Show group/project even if its is_trashed attribute is true.",
  27         },
  28       })
  29   end
  30
  31   def self._contents_requires_parameters
  32     params = _index_requires_parameters.
  33       merge({
  34               uuid: {
  35                 type: 'string', required: false, default: nil,
  36               },
  37               recursive: {
  38                 type: 'boolean', required: false, default: false, description: 'Include contents from child groups recursively.',
  39               },
  40               include: {
  41                 type: 'string', required: false, description: 'Include objects referred to by listed field in "included" (only owner_uuid).',
  42               },
  43               include_old_versions: {
  44                 type: 'boolean', required: false, default: false, description: 'Include past collection versions.',
  45               }
  46             })
  47     params.delete(:select)
  48     params
  49   end
  50
  51   def self._create_requires_parameters
  52     super.merge(
  53       {
  54         async: {
  55           required: false,
  56           type: 'boolean',
  57           location: 'query',
  58           default: false,
  59           description: 'defer permissions update',
  60         }
  61       }
  62     )
  63   end
  64
  65   def self._update_requires_parameters
  66     super.merge(
  67       {
  68         async: {
  69           required: false,
  70           type: 'boolean',
  71           location: 'query',
  72           default: false,
  73           description: 'defer permissions update',
  74         }
  75       }
  76     )
  77   end
  78
  79   def create
  80     if params[:async]
  81       @object = model_class.new(resource_attrs.merge({async_permissions_update: true}))
  82       @object.save!
  83       render_accepted
  84     else
  85       super
  86     end
  87   end
  88
  89   def update
  90     if params[:async]
  91       attrs_to_update = resource_attrs.reject { |k, v|
  92         [:kind, :etag, :href].index k
  93       }.merge({async_permissions_update: true})
  94       @object.update_attributes!(attrs_to_update)
  95       @object.save!
  96       render_accepted
  97     else
  98       super
  99     end
 100   end
 101
 102   def render_404_if_no_object
 103     if params[:action] == 'contents'
 104       if !params[:uuid]
 105         # OK!
 106         @object = nil
 107         true
 108       elsif @object
 109         # Project group
 110         true
 111       elsif (@object = User.where(uuid: params[:uuid]).first)
 112         # "Home" pseudo-project
 113         true
 114       else
 115         super
 116       end
 117     else
 118       super
 119     end
 120   end
 121
 122   def contents
 123     load_searchable_objects
 124     list = {
 125       :kind => "arvados#objectList",
 126       :etag => "",
 127       :self_link => "",
 128       :offset => @offset,
 129       :limit => @limit,
 130       :items_available => @items_available,
 131       :items => @objects.as_api_response(nil)
 132     }
 133     if @extra_included
 134       list[:included] = @extra_included.as_api_response(nil, {select: @select})
 135     end
 136     send_json(list)
 137   end
 138
 139   def shared
 140     # The purpose of this endpoint is to return the toplevel set of
 141     # groups which are *not* reachable through a direct ownership
 142     # chain of projects starting from the current user account.  In
 143     # other words, groups which to which access was granted via a
 144     # permission link or chain of links.
 145     #
 146     # This also returns (in the "included" field) the objects that own
 147     # those projects (users or non-project groups).
 148     #
 149     #
 150     # The intended use of this endpoint is to support clients which
 151     # wish to browse those projects which are visible to the user but
 152     # are not part of the "home" project.
 153
 154     load_limit_offset_order_params
 155     load_filters_param
 156
 157     @objects = exclude_home Group.readable_by(*@read_users), Group
 158
 159     apply_where_limit_order_params
 160
 161     if params["include"] == "owner_uuid"
 162       owners = @objects.map(&:owner_uuid).to_set
 163       @extra_included = []
 164       [Group, User].each do |klass|
 165         @extra_included += klass.readable_by(*@read_users).where(uuid: owners.to_a).to_a
 166       end
 167     end
 168
 169     index
 170   end
 171
 172   def self._shared_requires_parameters
 173     rp = self._index_requires_parameters
 174     rp[:include] = { type: 'string', required: false }
 175     rp
 176   end
 177
 178   protected
 179
 180   def load_searchable_objects
 181     all_objects = []
 182     @items_available = 0
 183
 184     # Reload the orders param, this time without prefixing unqualified
 185     # columns ("name" => "groups.name"). Here, unqualified orders
 186     # apply to each table being searched, not "groups".
 187     load_limit_offset_order_params(fill_table_names: false)
 188
 189     # Trick apply_where_limit_order_params into applying suitable
 190     # per-table values. *_all are the real ones we'll apply to the
 191     # aggregate set.
 192     limit_all = @limit
 193     offset_all = @offset
 194     # save the orders from the current request as determined by load_param,
 195     # but otherwise discard them because we're going to be getting objects
 196     # from many models
 197     request_orders = @orders.clone
 198     @orders = []
 199
 200     request_filters = @filters
 201
 202     klasses = [Group,
 203      Job, PipelineInstance, PipelineTemplate, ContainerRequest, Workflow,
 204      Collection,
 205      Human, Specimen, Trait]
 206
 207     table_names = Hash[klasses.collect { |k| [k, k.table_name] }]
 208
 209     disabled_methods = Rails.configuration.API.DisabledAPIs
 210     avail_klasses = table_names.select{|k, t| !disabled_methods[t+'.index']}
 211     klasses = avail_klasses.keys
 212
 213     request_filters.each do |col, op, val|
 214       if col.index('.') && !table_names.values.include?(col.split('.', 2)[0])
 215         raise ArgumentError.new("Invalid attribute '#{col}' in filter")
 216       end
 217     end
 218
 219     wanted_klasses = []
 220     request_filters.each do |col,op,val|
 221       if op == 'is_a'
 222         (val.is_a?(Array) ? val : [val]).each do |type|
 223           type = type.split('#')[-1]
 224           type[0] = type[0].capitalize
 225           wanted_klasses << type
 226         end
 227       end
 228     end
 229
 230     # filter groups need to be limited to those classes mentioned in the filters
 231     # @object can also be a User object (virtual home project)
 232     if @object and @object.is_a?(Group) and @object.group_class == "filter"
 233       if request_filters.length() == 0
 234         raise ArgumentError.new("Filter group needs to have filters defined")
 235       end
 236       request_filters.each do |col, op, val|
 237         if col.index('.')
 238           col = col.split('.')[0]
 239           col = col.capitalize.sub(/s$/,'')
 240           wanted_klasses << col
 241         end
 242       end
 243     end
 244
 245     filter_by_owner = {}
 246     if @object
 247       # filter groups should not have an owner_uuid filter applied
 248       if ! @object.is_a?(Group) or (@object.is_a?(Group) and @object.group_class != "filter")
 249         if params['recursive']
 250           filter_by_owner[:owner_uuid] = [@object.uuid] + @object.descendant_project_uuids
 251         else
 252           filter_by_owner[:owner_uuid] = @object.uuid
 253         end
 254       end
 255
 256       if params['exclude_home_project']
 257         raise ArgumentError.new "Cannot use 'exclude_home_project' with a parent object"
 258       end
 259     end
 260
 261     included_by_uuid = {}
 262
 263     seen_last_class = false
 264     klasses.each do |klass|
 265       @offset = 0 if seen_last_class  # reset offset for the new next type being processed
 266
 267       # if current klass is same as params['last_object_class'], mark that fact
 268       seen_last_class = true if((params['count'].andand.==('none')) and
 269                                 (params['last_object_class'].nil? or
 270                                  params['last_object_class'].empty? or
 271                                  params['last_object_class'] == klass.to_s))
 272
 273       # if klasses are specified, skip all other klass types
 274       next if wanted_klasses.any? and !wanted_klasses.include?(klass.to_s)
 275
 276       # don't reprocess klass types that were already seen
 277       next if params['count'] == 'none' and !seen_last_class
 278
 279       # don't process rest of object types if we already have needed number of objects
 280       break if params['count'] == 'none' and all_objects.size >= limit_all
 281
 282       # If the currently requested orders specifically match the
 283       # table_name for the current klass, apply that order.
 284       # Otherwise, order by recency.
 285       request_order =
 286         request_orders.andand.find { |r| r =~ /^#{klass.table_name}\./i || r !~ /\./ } ||
 287         klass.default_orders.join(", ")
 288
 289       @select = nil
 290       where_conds = filter_by_owner
 291       if klass == Collection
 292         @select = klass.selectable_attributes - ["manifest_text", "unsigned_manifest_text"]
 293       elsif klass == Group
 294         where_conds = where_conds.merge(group_class: "project")
 295       end
 296
 297       @filters = request_filters.map do |col, op, val|
 298         if !col.index('.')
 299           [col, op, val]
 300         elsif (col = col.split('.', 2))[0] == klass.table_name
 301           [col[1], op, val]
 302         else
 303           nil
 304         end
 305       end.compact
 306
 307       @objects = klass.readable_by(*@read_users, {
 308           :include_trash => params[:include_trash],
 309           :include_old_versions => params[:include_old_versions]
 310         }).order(request_order).where(where_conds)
 311
 312       if params['exclude_home_project']
 313         @objects = exclude_home @objects, klass
 314       end
 315
 316       klass_limit = limit_all - all_objects.count
 317       @limit = klass_limit
 318       apply_where_limit_order_params klass
 319       klass_object_list = object_list(model_class: klass)
 320       klass_items_available = klass_object_list[:items_available] || 0
 321       @items_available += klass_items_available
 322       @offset = [@offset - klass_items_available, 0].max
 323       all_objects += klass_object_list[:items]
 324
 325       if klass_object_list[:limit] < klass_limit
 326         # object_list() had to reduce @limit to comply with
 327         # max_index_database_read. From now on, we'll do all queries
 328         # with limit=0 and just accumulate items_available.
 329         limit_all = all_objects.count
 330       end
 331
 332       if params["include"] == "owner_uuid"
 333         owners = klass_object_list[:items].map {|i| i[:owner_uuid]}.to_set
 334         [Group, User].each do |ownerklass|
 335           ownerklass.readable_by(*@read_users).where(uuid: owners.to_a).each do |ow|
 336             included_by_uuid[ow.uuid] = ow
 337           end
 338         end
 339       end
 340     end
 341
 342     if params["include"]
 343       @extra_included = included_by_uuid.values
 344     end
 345
 346     @objects = all_objects
 347     @limit = limit_all
 348     @offset = offset_all
 349   end
 350
 351   protected
 352
 353   def exclude_home objectlist, klass
 354     # select records that are readable by current user AND
 355     #   the owner_uuid is a user (but not the current user) OR
 356     #   the owner_uuid is not readable by the current user
 357     #   the owner_uuid is a group but group_class is not a project
 358
 359     read_parent_check = if current_user.is_admin
 360                           ""
 361                         else
 362                           "NOT EXISTS(SELECT 1 FROM #{PERMISSION_VIEW} WHERE "+
 363                             "user_uuid=(:user_uuid) AND target_uuid=#{klass.table_name}.owner_uuid AND perm_level >= 1) OR "
 364                         end
 365
 366     objectlist.where("#{klass.table_name}.owner_uuid IN (SELECT users.uuid FROM users WHERE users.uuid != (:user_uuid)) OR "+
 367                      read_parent_check+
 368                      "EXISTS(SELECT 1 FROM groups as gp where gp.uuid=#{klass.table_name}.owner_uuid and gp.group_class != 'project')",
 369                      user_uuid: current_user.uuid)
 370   end
 371
 372 end