services/api/test/functional/arvados/v1/links_controller_test.rb

   1 require 'test_helper'
   2
   3 class Arvados::V1::LinksControllerTest < ActionController::TestCase
   4
   5   ['link', 'link_json'].each do |formatted_link|
   6     test "no symbol keys in serialized hash #{formatted_link}" do
   7       link = {
   8         properties: {username: 'testusername'},
   9         link_class: 'test',
  10         name: 'encoding',
  11         tail_uuid: users(:admin).uuid,
  12         head_uuid: virtual_machines(:testvm).uuid
  13       }
  14       authorize_with :admin
  15       if formatted_link == 'link_json'
  16         post :create, link: link.to_json
  17       else
  18         post :create, link: link
  19       end
  20       assert_response :success
  21       assert_not_nil assigns(:object)
  22       assert_equal 'testusername', assigns(:object).properties['username']
  23       assert_equal false, assigns(:object).properties.has_key?(:username)
  24     end
  25   end
  26
  27   %w(created_at modified_at).each do |attr|
  28     {nil: nil, bogus: 2.days.ago}.each do |bogustype, bogusvalue|
  29       test "cannot set #{bogustype} #{attr} in create" do
  30         authorize_with :active
  31         post :create, {
  32           link: {
  33             properties: {},
  34             link_class: 'test',
  35             name: 'test',
  36           }.merge(attr => bogusvalue)
  37         }
  38         assert_response :success
  39         resp = JSON.parse @response.body
  40         assert_in_delta Time.now, Time.parse(resp[attr]), 3.0
  41       end
  42       test "cannot set #{bogustype} #{attr} in update" do
  43         really_created_at = links(:test_timestamps).created_at
  44         authorize_with :active
  45         put :update, {
  46           id: links(:test_timestamps).uuid,
  47           link: {
  48             :properties => {test: 'test'},
  49             attr => bogusvalue
  50           }
  51         }
  52         assert_response :success
  53         resp = JSON.parse @response.body
  54         case attr
  55         when 'created_at'
  56           assert_in_delta really_created_at, Time.parse(resp[attr]), 0.001
  57         else
  58           assert_in_delta Time.now, Time.parse(resp[attr]), 3.0
  59         end
  60       end
  61     end
  62   end
  63
  64   test "head must exist" do
  65     link = {
  66       link_class: 'test',
  67       name: 'stuff',
  68       tail_uuid: users(:active).uuid,
  69       head_uuid: 'zzzzz-tpzed-xyzxyzxerrrorxx'
  70     }
  71     authorize_with :admin
  72     post :create, link: link
  73     assert_response 422
  74   end
  75
  76   test "tail must exist" do
  77     link = {
  78       link_class: 'test',
  79       name: 'stuff',
  80       head_uuid: users(:active).uuid,
  81       tail_uuid: 'zzzzz-tpzed-xyzxyzxerrrorxx'
  82     }
  83     authorize_with :admin
  84     post :create, link: link
  85     assert_response 422
  86   end
  87
  88   test "head and tail exist, head_kind and tail_kind are returned" do
  89     link = {
  90       link_class: 'test',
  91       name: 'stuff',
  92       head_uuid: users(:active).uuid,
  93       tail_uuid: users(:spectator).uuid,
  94     }
  95     authorize_with :admin
  96     post :create, link: link
  97     assert_response :success
  98     l = JSON.parse(@response.body)
  99     assert 'arvados#user', l['head_kind']
 100     assert 'arvados#user', l['tail_kind']
 101   end
 102
 103   test "can supply head_kind and tail_kind without error" do
 104     link = {
 105       link_class: 'test',
 106       name: 'stuff',
 107       head_uuid: users(:active).uuid,
 108       tail_uuid: users(:spectator).uuid,
 109       head_kind: "arvados#user",
 110       tail_kind: "arvados#user",
 111     }
 112     authorize_with :admin
 113     post :create, link: link
 114     assert_response :success
 115     l = JSON.parse(@response.body)
 116     assert 'arvados#user', l['head_kind']
 117     assert 'arvados#user', l['tail_kind']
 118   end
 119
 120   test "tail must be visible by user" do
 121     link = {
 122       link_class: 'test',
 123       name: 'stuff',
 124       head_uuid: users(:active).uuid,
 125       tail_uuid: authorized_keys(:admin).uuid,
 126     }
 127     authorize_with :active
 128     post :create, link: link
 129     assert_response 422
 130   end
 131
 132   test "filter links with 'is_a' operator" do
 133     authorize_with :admin
 134     get :index, {
 135       filters: [ ['tail_uuid', 'is_a', 'arvados#user'] ]
 136     }
 137     assert_response :success
 138     found = assigns(:objects)
 139     assert_not_equal 0, found.count
 140     assert_equal found.count, (found.select { |f| f.tail_uuid.match User.uuid_regex }).count
 141   end
 142
 143   test "filter links with 'is_a' operator with more than one" do
 144     authorize_with :admin
 145     get :index, {
 146       filters: [ ['tail_uuid', 'is_a', ['arvados#user', 'arvados#group'] ] ],
 147     }
 148     assert_response :success
 149     found = assigns(:objects)
 150     assert_not_equal 0, found.count
 151     assert_equal found.count, (found.select { |f|
 152                                  f.tail_uuid.match User.uuid_regex or
 153                                  f.tail_uuid.match Group.uuid_regex
 154                                }).count
 155   end
 156
 157   test "filter links with 'is_a' operator with bogus type" do
 158     authorize_with :admin
 159     get :index, {
 160       filters: [ ['tail_uuid', 'is_a', ['arvados#bogus'] ] ],
 161     }
 162     assert_response :success
 163     found = assigns(:objects)
 164     assert_equal 0, found.count
 165   end
 166
 167   test "filter links with 'is_a' operator with collection" do
 168     authorize_with :admin
 169     get :index, {
 170       filters: [ ['head_uuid', 'is_a', ['arvados#collection'] ] ],
 171     }
 172     assert_response :success
 173     found = assigns(:objects)
 174     assert_not_equal 0, found.count
 175     assert_equal found.count, (found.select { |f| f.head_uuid.match Collection.uuid_regex}).count
 176   end
 177
 178   test "test can still use where tail_kind" do
 179     authorize_with :admin
 180     get :index, {
 181       where: { tail_kind: 'arvados#user' }
 182     }
 183     assert_response :success
 184     found = assigns(:objects)
 185     assert_not_equal 0, found.count
 186     assert_equal found.count, (found.select { |f| f.tail_uuid.match User.uuid_regex }).count
 187   end
 188
 189   test "test can still use where head_kind" do
 190     authorize_with :admin
 191     get :index, {
 192       where: { head_kind: 'arvados#user' }
 193     }
 194     assert_response :success
 195     found = assigns(:objects)
 196     assert_not_equal 0, found.count
 197     assert_equal found.count, (found.select { |f| f.head_uuid.match User.uuid_regex }).count
 198   end
 199
 200   test "test can still use filter tail_kind" do
 201     authorize_with :admin
 202     get :index, {
 203       filters: [ ['tail_kind', '=', 'arvados#user'] ]
 204     }
 205     assert_response :success
 206     found = assigns(:objects)
 207     assert_not_equal 0, found.count
 208     assert_equal found.count, (found.select { |f| f.tail_uuid.match User.uuid_regex }).count
 209   end
 210
 211   test "test can still use filter head_kind" do
 212     authorize_with :admin
 213     get :index, {
 214       filters: [ ['head_kind', '=', 'arvados#user'] ]
 215     }
 216     assert_response :success
 217     found = assigns(:objects)
 218     assert_not_equal 0, found.count
 219     assert_equal found.count, (found.select { |f| f.head_uuid.match User.uuid_regex }).count
 220   end
 221
 222   test "head_kind matches head_uuid" do
 223     link = {
 224       link_class: 'test',
 225       name: 'stuff',
 226       head_uuid: groups(:public).uuid,
 227       head_kind: "arvados#user",
 228       tail_uuid: users(:spectator).uuid,
 229       tail_kind: "arvados#user",
 230     }
 231     authorize_with :admin
 232     post :create, link: link
 233     assert_response 422
 234   end
 235
 236   test "tail_kind matches tail_uuid" do
 237     link = {
 238       link_class: 'test',
 239       name: 'stuff',
 240       head_uuid: users(:active).uuid,
 241       head_kind: "arvados#user",
 242       tail_uuid: groups(:public).uuid,
 243       tail_kind: "arvados#user",
 244     }
 245     authorize_with :admin
 246     post :create, link: link
 247     assert_response 422
 248   end
 249
 250   test "test with virtual_machine" do
 251     link = {
 252       tail_kind: "arvados#user",
 253       tail_uuid: users(:active).uuid,
 254       head_kind: "arvados#virtual_machine",
 255       head_uuid: virtual_machines(:testvm).uuid,
 256       link_class: "permission",
 257       name: "can_login",
 258       properties: {username: "repo_and_user_name"}
 259     }
 260     authorize_with :admin
 261     post :create, link: link
 262     assert_response 422
 263   end
 264
 265   test "test with virtualMachine" do
 266     link = {
 267       tail_kind: "arvados#user",
 268       tail_uuid: users(:active).uuid,
 269       head_kind: "arvados#virtualMachine",
 270       head_uuid: virtual_machines(:testvm).uuid,
 271       link_class: "permission",
 272       name: "can_login",
 273       properties: {username: "repo_and_user_name"}
 274     }
 275     authorize_with :admin
 276     post :create, link: link
 277     assert_response :success
 278   end
 279
 280   test "project owner can show a project permission" do
 281     uuid = links(:project_viewer_can_read_project).uuid
 282     authorize_with :active
 283     get :show, id: uuid
 284     assert_response :success
 285     assert_equal(uuid, assigns(:object).andand.uuid)
 286   end
 287
 288   test "admin can show a project permission" do
 289     uuid = links(:project_viewer_can_read_project).uuid
 290     authorize_with :admin
 291     get :show, id: uuid
 292     assert_response :success
 293     assert_equal(uuid, assigns(:object).andand.uuid)
 294   end
 295
 296   test "project viewer can't show others' project permissions" do
 297     authorize_with :project_viewer
 298     get :show, id: links(:admin_can_write_aproject).uuid
 299     assert_response 404
 300   end
 301
 302   test "requesting a nonexistent link returns 404" do
 303     authorize_with :active
 304     get :show, id: 'zzzzz-zzzzz-zzzzzzzzzzzzzzz'
 305     assert_response 404
 306   end
 307
 308   # not implemented
 309   skip "retrieve all permissions using generic links index api" do
 310     # Links.readable_by() does not return the full set of permission
 311     # links that are visible to a user (i.e., all permission links
 312     # whose head_uuid references an object for which the user has
 313     # ownership or can_manage permission). Therefore, neither does
 314     # /arvados/v1/links.
 315     #
 316     # It is possible to retrieve the full set of permissions for a
 317     # single object via /arvados/v1/permissions.
 318     authorize_with :active
 319     get :index, filters: [['link_class', '=', 'permission'],
 320                           ['head_uuid', '=', groups(:aproject).uuid]]
 321     assert_response :success
 322     assert_not_nil assigns(:objects)
 323     assert_includes(assigns(:objects).map(&:uuid),
 324                     links(:project_viewer_can_read_project).uuid)
 325   end
 326
 327   test "admin can index project permissions" do
 328     authorize_with :admin
 329     get :index, filters: [['link_class', '=', 'permission'],
 330                           ['head_uuid', '=', groups(:aproject).uuid]]
 331     assert_response :success
 332     assert_not_nil assigns(:objects)
 333     assert_includes(assigns(:objects).map(&:uuid),
 334                     links(:project_viewer_can_read_project).uuid)
 335   end
 336
 337   test "project viewer can't index others' project permissions" do
 338     authorize_with :project_viewer
 339     get :index, filters: [['link_class', '=', 'permission'],
 340                           ['head_uuid', '=', groups(:aproject).uuid],
 341                           ['tail_uuid', '!=', users(:project_viewer).uuid]]
 342     assert_response :success
 343     assert_not_nil assigns(:objects)
 344     assert_empty assigns(:objects)
 345   end
 346
 347   # Granting permissions.
 348   test "grant can_read on project to other users in group" do
 349     authorize_with :user_foo_in_sharing_group
 350
 351     refute users(:user_bar_in_sharing_group).can?(read: collections(:collection_owned_by_foo).uuid)
 352
 353     post :create, {
 354       link: {
 355         tail_uuid: users(:user_bar_in_sharing_group).uuid,
 356         link_class: 'permission',
 357         name: 'can_read',
 358         head_uuid: collections(:collection_owned_by_foo).uuid,
 359       }
 360     }
 361     assert_response :success
 362     assert users(:user_bar_in_sharing_group).can?(read: collections(:collection_owned_by_foo).uuid)
 363   end
 364 end