services/api/app/models/link.rb

   1 class Link < ArvadosModel
   2   include AssignUuid
   3   include KindAndEtag
   4   include CommonApiTemplate
   5   serialize :properties, Hash
   6   before_create :permission_to_attach_to_objects
   7   before_update :permission_to_attach_to_objects
   8   after_update :maybe_invalidate_permissions_cache
   9   after_create :maybe_invalidate_permissions_cache
  10   after_destroy :maybe_invalidate_permissions_cache
  11
  12   attr_accessor :head
  13   attr_accessor :tail
  14
  15   api_accessible :user, extend: :common do |t|
  16     t.add :tail_kind
  17     t.add :tail_uuid
  18     t.add :link_class
  19     t.add :name
  20     t.add :head_kind
  21     t.add :head_uuid
  22     t.add :head, :if => :head
  23     t.add :tail, :if => :tail
  24     t.add :properties
  25   end
  26
  27   def properties
  28     @properties ||= Hash.new
  29     super
  30   end
  31
  32   protected
  33
  34   def permission_to_attach_to_objects
  35     # Anonymous users cannot write links
  36     return false if !current_user
  37
  38     # All users can write links that don't affect permissions
  39     return true if self.link_class != 'permission'
  40
  41     # Administrators can grant permissions
  42     return true if current_user.is_admin
  43
  44     # All users can grant permissions on objects they own
  45     head_obj = self.class.
  46       kind_class(self.head_kind).
  47       where('uuid=?',head_uuid).
  48       first
  49     if head_obj
  50       return true if head_obj.owner_uuid == current_user.uuid
  51     end
  52
  53     # Users with "can_grant" permission on an object can grant
  54     # permissions on that object
  55     has_grant_permission = self.class.
  56       where('link_class=? AND name=? AND tail_uuid=? AND head_uuid=?',
  57             'permission', 'can_grant', current_user.uuid, self.head_uuid).
  58       count > 0
  59     return true if has_grant_permission
  60
  61     # Default = deny.
  62     false
  63   end
  64
  65   def maybe_invalidate_permissions_cache
  66     if self.link_class == 'permission'
  67       # Clearing the entire permissions cache can generate many
  68       # unnecessary queries if many active users are not affected by
  69       # this change. In such cases it would be better to search cached
  70       # permissions for head_uuid and tail_uuid, and invalidate the
  71       # cache for only those users. (This would require a browseable
  72       # cache.)
  73       User.invalidate_permissions_cache
  74     end
  75   end
  76 end