6429: Use text instead of string for longer API fields.
[arvados.git] / services / api / app / models / blob.rb
1 class Blob
2   extend DbCurrentTime
3
4   def initialize locator
5     @locator = locator
6   end
7
8   def empty?
9     !!@locator.match(/^d41d8cd98f00b204e9800998ecf8427e(\+.*)?$/)
10   end
11
12   # In order to get a Blob from Keep, you have to prove either
13   # [a] you have recently written it to Keep yourself, or
14   # [b] apiserver has recently decided that you should be able to read it
15   #
16   # To ensure that the requestor of a blob is authorized to read it,
17   # Keep requires clients to timestamp the blob locator with an expiry
18   # time, and to sign the timestamped locator with their API token.
19   #
20   # A signed blob locator has the form:
21   #     locator_hash +A blob_signature @ timestamp
22   # where the timestamp is a Unix time expressed as a hexadecimal value,
23   # and the blob_signature is the signed locator_hash + API token + timestamp.
24   # 
25   class InvalidSignatureError < StandardError
26   end
27
28   # Blob.sign_locator: return a signed and timestamped blob locator.
29   #
30   # The 'opts' argument should include:
31   #   [required] :api_token - API token (signatures only work for this token)
32   #   [optional] :key       - the Arvados server-side blobstore key
33   #   [optional] :ttl       - number of seconds before signature should expire
34   #   [optional] :expire    - unix timestamp when signature should expire
35   #
36   def self.sign_locator blob_locator, opts
37     # We only use the hash portion for signatures.
38     blob_hash = blob_locator.split('+').first
39
40     # Generate an expiry timestamp (seconds after epoch, base 16)
41     if opts[:expire]
42       if opts[:ttl]
43         raise "Cannot specify both :ttl and :expire options"
44       end
45       timestamp = opts[:expire]
46     else
47       timestamp = db_current_time.to_i +
48         (opts[:ttl] || Rails.configuration.blob_signature_ttl)
49     end
50     timestamp_hex = timestamp.to_s(16)
51     # => "53163cb4"
52
53     # Generate a signature.
54     signature =
55       generate_signature((opts[:key] or Rails.configuration.blob_signing_key),
56                          blob_hash, opts[:api_token], timestamp_hex)
57
58     blob_locator + '+A' + signature + '@' + timestamp_hex
59   end
60
61   # Blob.verify_signature
62   #   Safely verify the signature on a blob locator.
63   #   Return value: true if the locator has a valid signature, false otherwise
64   #   Arguments: signed_blob_locator, opts
65   #
66   def self.verify_signature *args
67     begin
68       self.verify_signature! *args
69       true
70     rescue Blob::InvalidSignatureError
71       false
72     end
73   end
74
75   # Blob.verify_signature!
76   #   Verify the signature on a blob locator.
77   #   Return value: true if the locator has a valid signature
78   #   Arguments: signed_blob_locator, opts
79   #   Exceptions:
80   #     Blob::InvalidSignatureError if the blob locator does not include a
81   #     valid signature
82   #
83   def self.verify_signature! signed_blob_locator, opts
84     blob_hash = signed_blob_locator.split('+').first
85     given_signature, timestamp = signed_blob_locator.
86       split('+A').last.
87       split('+').first.
88       split('@')
89
90     if !timestamp
91       raise Blob::InvalidSignatureError.new 'No signature provided.'
92     end
93     unless timestamp =~ /^[\da-f]+$/
94       raise Blob::InvalidSignatureError.new 'Timestamp is not a base16 number.'
95     end
96     if timestamp.to_i(16) < (opts[:now] or db_current_time.to_i)
97       raise Blob::InvalidSignatureError.new 'Signature expiry time has passed.'
98     end
99
100     my_signature =
101       generate_signature((opts[:key] or Rails.configuration.blob_signing_key),
102                          blob_hash, opts[:api_token], timestamp)
103
104     if my_signature != given_signature
105       raise Blob::InvalidSignatureError.new 'Signature is invalid.'
106     end
107
108     true
109   end
110
111   def self.generate_signature key, blob_hash, api_token, timestamp
112     OpenSSL::HMAC.hexdigest('sha1', key,
113                             [blob_hash,
114                              api_token,
115                              timestamp].join('@'))
116   end
117 end