Automatic checks of authentication / instance publicity. Definition of missing OAuth...

[akkoma] / lib / pleroma / web / mastodon_api / controllers / account_controller.ex
diff --git a/lib/pleroma/web/mastodon_api/controllers/account_controller.ex b/lib/pleroma/web/mastodon_api/controllers/account_controller.ex

index 56e6214c516461e961bfd85abfa20a3f40f02169..9b8cc0d0dc18a0474e5c879a10905b08541b8274 100644 (file)
--- a/lib/pleroma/web/mastodon_api/controllers/account_controller.ex
+++ b/lib/pleroma/web/mastodon_api/controllers/account_controller.ex
@@ -6,7 +6,13 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
    use Pleroma.Web, :controller
  
    import Pleroma.Web.ControllerHelper,
-    only: [add_link_headers: 2, truthy_param?: 1, assign_account_by_id: 2, json_response: 3]
+    only: [
+      add_link_headers: 2,
+      truthy_param?: 1,
+      assign_account_by_id: 2,
+      json_response: 3,
+      skip_relationships?: 1
+    ]
  
    alias Pleroma.Plugs.OAuthScopesPlug
    alias Pleroma.Plugs.RateLimiter
@@ -15,14 +21,29 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
    alias Pleroma.Web.CommonAPI
    alias Pleroma.Web.MastodonAPI.ListView
    alias Pleroma.Web.MastodonAPI.MastodonAPI
+  alias Pleroma.Web.MastodonAPI.MastodonAPIController
    alias Pleroma.Web.MastodonAPI.StatusView
    alias Pleroma.Web.OAuth.Token
    alias Pleroma.Web.TwitterAPI.TwitterAPI
  
+  plug(:skip_plug, OAuthScopesPlug when action in [:create, :identity_proofs])
+
+  plug(
+    :skip_plug,
+    Pleroma.Plugs.EnsurePublicOrAuthenticatedPlug
+    when action in [:create, :show, :statuses]
+  )
+
    plug(
      OAuthScopesPlug,
      %{fallback: :proceed_unauthenticated, scopes: ["read:accounts"]}
-    when action == :show
+    when action in [:show, :endorsements]
+  )
+
+  plug(
+    OAuthScopesPlug,
+    %{fallback: :proceed_unauthenticated, scopes: ["read:statuses"]}
+    when action == :statuses
    )
  
    plug(
@@ -47,26 +68,24 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
  
    plug(OAuthScopesPlug, %{scopes: ["read:follows"]} when action == :relationships)
  
-  # Note: :follows (POST /api/v1/follows) is the same as :follow, consider removing :follows
    plug(
      OAuthScopesPlug,
-    %{scopes: ["follow", "write:follows"]} when action in [:follows, :follow, :unfollow]
+    %{scopes: ["follow", "write:follows"]} when action in [:follow_by_uri, :follow, :unfollow]
    )
  
    plug(OAuthScopesPlug, %{scopes: ["follow", "read:mutes"]} when action == :mutes)
  
    plug(OAuthScopesPlug, %{scopes: ["follow", "write:mutes"]} when action in [:mute, :unmute])
  
+  @relationship_actions [:follow, :unfollow]
+  @needs_account ~W(followers following lists follow unfollow mute unmute block unblock)a
+
    plug(
-    Pleroma.Plugs.EnsurePublicOrAuthenticatedPlug
-    when action != :create
+    RateLimiter,
+    [name: :relation_id_action, params: ["id", "uri"]] when action in @relationship_actions
    )
  
-  @relations [:follow, :unfollow]
-  @needs_account ~W(followers following lists follow unfollow mute unmute block unblock)a
-
-  plug(RateLimiter, [name: :relations_id_action, params: ["id", "uri"]] when action in @relations)
-  plug(RateLimiter, [name: :relations_actions] when action in @relations)
+  plug(RateLimiter, [name: :relations_actions] when action in @relationship_actions)
    plug(RateLimiter, [name: :app_account_creation] when action == :create)
    plug(:assign_account_by_id when action in @needs_account)
  
@@ -91,6 +110,7 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
        |> Map.put("fullname", params["fullname"] || nickname)
        |> Map.put("bio", params["bio"] || "")
        |> Map.put("confirm", params["password"])
+      |> Map.put("trusted_app", app.trusted)
  
      with :ok <- validate_email_param(params),
           {:ok, user} <- TwitterAPI.register_user(params, need_confirmation: true),
@@ -136,9 +156,7 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
    end
  
    @doc "PATCH /api/v1/accounts/update_credentials"
-  def update_credentials(%{assigns: %{user: original_user}} = conn, params) do
-    user = original_user
-
+  def update_credentials(%{assigns: %{user: user}} = conn, params) do
      user_params =
        [
          :no_rich_text,
@@ -174,8 +192,6 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
      changeset = User.update_changeset(user, user_params)
  
      with {:ok, user} <- User.update_and_set_cache(changeset) do
-      if original_user != user, do: CommonAPI.update(user)
-
        render(conn, "show.json", user: user, for: user, with_pleroma_settings: true)
      else
        _e -> render_error(conn, :forbidden, "Invalid request")
@@ -221,7 +237,8 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
  
    @doc "GET /api/v1/accounts/:id/statuses"
    def statuses(%{assigns: %{user: reading_user}} = conn, params) do
-    with %User{} = user <- User.get_cached_by_nickname_or_id(params["id"], for: reading_user) do
+    with %User{} = user <- User.get_cached_by_nickname_or_id(params["id"], for: reading_user),
+         true <- User.visible_for?(user, reading_user) do
        params =
          params
          |> Map.put("tag", params["tagged"])
@@ -232,7 +249,14 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
        conn
        |> add_link_headers(activities)
        |> put_view(StatusView)
-      |> render("index.json", activities: activities, for: reading_user, as: :activity)
+      |> render("index.json",
+        activities: activities,
+        for: reading_user,
+        as: :activity,
+        skip_relationships: skip_relationships?(params)
+      )
+    else
+      _e -> render_error(conn, :not_found, "Can't find user")
      end
    end
  
@@ -338,7 +362,7 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
    end
  
    @doc "POST /api/v1/follows"
-  def follows(%{assigns: %{user: follower}} = conn, %{"uri" => uri}) do
+  def follow_by_uri(%{assigns: %{user: follower}} = conn, %{"uri" => uri}) do
      with {_, %User{} = followed} <- {:followed, User.get_cached_by_nickname(uri)},
           {_, true} <- {:followed, follower.id != followed.id},
           {:ok, follower, followed, _} <- CommonAPI.follow(follower, followed) do
@@ -362,6 +386,8 @@ defmodule Pleroma.Web.MastodonAPI.AccountController do
    end
  
    @doc "GET /api/v1/endorsements"
-  def endorsements(conn, params),
-    do: Pleroma.Web.MastodonAPI.MastodonAPIController.empty_array(conn, params)
+  def endorsements(conn, params), do: MastodonAPIController.empty_array(conn, params)
+
+  @doc "GET /api/v1/identity_proofs"
+  def identity_proofs(conn, params), do: MastodonAPIController.empty_array(conn, params)
  end