Add a way to use the admin api without a user.

[akkoma] / lib / pleroma / web / router.ex
diff --git a/lib/pleroma/web/router.ex b/lib/pleroma/web/router.ex

index f3604d465bfa7e155bd213a42f7450d6a2e6521a..e988f10888757a5d63ee23e087022cce7bc32348 100644 (file)
--- a/lib/pleroma/web/router.ex
+++ b/lib/pleroma/web/router.ex
@@ -1,14 +1,6 @@
  defmodule Pleroma.Web.Router do
    use Pleroma.Web, :router
  
-  alias Pleroma.{Repo, User, Web.Router}
-
-  @instance Application.get_env(:pleroma, :instance)
-  @federating Keyword.get(@instance, :federating)
-  @allow_relay Keyword.get(@instance, :allow_relay)
-  @public Keyword.get(@instance, :public)
-  @registrations_open Keyword.get(@instance, :registrations_open)
-
    pipeline :api do
      plug(:accepts, ["json"])
      plug(:fetch_session)
@@ -37,6 +29,22 @@ defmodule Pleroma.Web.Router do
      plug(Pleroma.Plugs.EnsureAuthenticatedPlug)
    end
  
+  pipeline :admin_api do
+    plug(:accepts, ["json"])
+    plug(:fetch_session)
+    plug(Pleroma.Plugs.OAuthPlug)
+    plug(Pleroma.Plugs.BasicAuthDecoderPlug)
+    plug(Pleroma.Plugs.UserFetcherPlug)
+    plug(Pleroma.Plugs.SessionAuthenticationPlug)
+    plug(Pleroma.Plugs.LegacyAuthenticationPlug)
+    plug(Pleroma.Plugs.AuthenticationPlug)
+    plug(Pleroma.Plugs.AdminSecretAuthenticationPlug)
+    plug(Pleroma.Plugs.UserEnabledPlug)
+    plug(Pleroma.Plugs.SetUserSessionIdPlug)
+    plug(Pleroma.Plugs.EnsureAuthenticatedPlug)
+    plug(Pleroma.Plugs.UserIsAdminPlug)
+  end
+
    pipeline :mastodon_html do
      plug(:accepts, ["html"])
      plug(:fetch_session)
@@ -78,11 +86,42 @@ defmodule Pleroma.Web.Router do
      plug(:accepts, ["html", "json"])
    end
  
+  pipeline :mailbox_preview do
+    plug(:accepts, ["html"])
+
+    plug(:put_secure_browser_headers, %{
+      "content-security-policy" =>
+        "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' 'unsafe-eval'"
+    })
+  end
+
    scope "/api/pleroma", Pleroma.Web.TwitterAPI do
      pipe_through(:pleroma_api)
      get("/password_reset/:token", UtilController, :show_password_reset)
      post("/password_reset", UtilController, :password_reset)
      get("/emoji", UtilController, :emoji)
+    get("/captcha", UtilController, :captcha)
+  end
+
+  scope "/api/pleroma/admin", Pleroma.Web.AdminAPI do
+    pipe_through(:admin_api)
+    delete("/user", AdminAPIController, :user_delete)
+    post("/user", AdminAPIController, :user_create)
+    put("/users/tag", AdminAPIController, :tag_users)
+    delete("/users/tag", AdminAPIController, :untag_users)
+
+    get("/permission_group/:nickname", AdminAPIController, :right_get)
+    get("/permission_group/:nickname/:permission_group", AdminAPIController, :right_get)
+    post("/permission_group/:nickname/:permission_group", AdminAPIController, :right_add)
+    delete("/permission_group/:nickname/:permission_group", AdminAPIController, :right_delete)
+
+    post("/relay", AdminAPIController, :relay_follow)
+    delete("/relay", AdminAPIController, :relay_unfollow)
+
+    get("/invite_token", AdminAPIController, :get_invite_token)
+    post("/email_invite", AdminAPIController, :email_invite)
+
+    get("/password_reset", AdminAPIController, :get_password_reset)
    end
  
    scope "/", Pleroma.Web.TwitterAPI do
@@ -103,6 +142,7 @@ defmodule Pleroma.Web.Router do
      get("/authorize", OAuthController, :authorize)
      post("/authorize", OAuthController, :create_authorization)
      post("/token", OAuthController, :token_exchange)
+    post("/revoke", OAuthController, :token_revoke)
    end
  
    scope "/api/v1", Pleroma.Web.MastodonAPI do
@@ -118,6 +158,7 @@ defmodule Pleroma.Web.Router do
      post("/accounts/:id/unblock", MastodonAPIController, :unblock)
      post("/accounts/:id/mute", MastodonAPIController, :relationship_noop)
      post("/accounts/:id/unmute", MastodonAPIController, :relationship_noop)
+    get("/accounts/:id/lists", MastodonAPIController, :account_lists)
  
      get("/follow_requests", MastodonAPIController, :follow_requests)
      post("/follow_requests/:id/authorize", MastodonAPIController, :authorize_follow_request)
@@ -170,7 +211,14 @@ defmodule Pleroma.Web.Router do
      put("/filters/:id", MastodonAPIController, :update_filter)
      delete("/filters/:id", MastodonAPIController, :delete_filter)
  
+    post("/push/subscription", MastodonAPIController, :create_push_subscription)
+    get("/push/subscription", MastodonAPIController, :get_push_subscription)
+    put("/push/subscription", MastodonAPIController, :update_push_subscription)
+    delete("/push/subscription", MastodonAPIController, :delete_push_subscription)
+
      get("/suggestions", MastodonAPIController, :suggestions)
+
+    get("/endorsements", MastodonAPIController, :empty_array)
    end
  
    scope "/api/web", Pleroma.Web.MastodonAPI do
@@ -233,17 +281,14 @@ defmodule Pleroma.Web.Router do
      get("/statusnet/conversation/:id", TwitterAPI.Controller, :fetch_conversation)
  
      post("/account/register", TwitterAPI.Controller, :register)
+    post("/account/password_reset", TwitterAPI.Controller, :password_reset)
  
      get("/search", TwitterAPI.Controller, :search)
      get("/statusnet/tags/timeline/:tag", TwitterAPI.Controller, :public_and_external_timeline)
    end
  
    scope "/api", Pleroma.Web do
-    if @public do
-      pipe_through(:api)
-    else
-      pipe_through(:authenticated_api)
-    end
+    pipe_through(:api)
  
      get("/statuses/public_timeline", TwitterAPI.Controller, :public_timeline)
  
@@ -256,7 +301,12 @@ defmodule Pleroma.Web.Router do
      get("/statuses/networkpublic_timeline", TwitterAPI.Controller, :public_and_external_timeline)
    end
  
-  scope "/api", Pleroma.Web do
+  scope "/api", Pleroma.Web, as: :twitter_api_search do
+    pipe_through(:api)
+    get("/pleroma/search_user", TwitterAPI.Controller, :search_user)
+  end
+
+  scope "/api", Pleroma.Web, as: :authenticated_twitter_api do
      pipe_through(:authenticated_api)
  
      get("/account/verify_credentials", TwitterAPI.Controller, :verify_credentials)
@@ -266,18 +316,17 @@ defmodule Pleroma.Web.Router do
      post("/account/update_profile_banner", TwitterAPI.Controller, :update_banner)
      post("/qvitter/update_background_image", TwitterAPI.Controller, :update_background)
  
-    post(
-      "/account/most_recent_notification",
-      TwitterAPI.Controller,
-      :update_most_recent_notification
-    )
-
      get("/statuses/home_timeline", TwitterAPI.Controller, :friends_timeline)
      get("/statuses/friends_timeline", TwitterAPI.Controller, :friends_timeline)
      get("/statuses/mentions", TwitterAPI.Controller, :mentions_timeline)
      get("/statuses/mentions_timeline", TwitterAPI.Controller, :mentions_timeline)
+    get("/statuses/dm_timeline", TwitterAPI.Controller, :dm_timeline)
      get("/qvitter/statuses/notifications", TwitterAPI.Controller, :notifications)
  
+    # XXX: this is really a pleroma API, but we want to keep the pleroma namespace clean
+    #      for now.
+    post("/qvitter/statuses/notifications/read", TwitterAPI.Controller, :notifications_read)
+
      post("/statuses/update", TwitterAPI.Controller, :status_update)
      post("/statuses/retweet/:id", TwitterAPI.Controller, :retweet)
      post("/statuses/unretweet/:id", TwitterAPI.Controller, :unretweet)
@@ -294,6 +343,7 @@ defmodule Pleroma.Web.Router do
  
      post("/statusnet/media/upload", TwitterAPI.Controller, :upload)
      post("/media/upload", TwitterAPI.Controller, :upload_json)
+    post("/media/metadata/create", TwitterAPI.Controller, :update_media)
  
      post("/favorites/create/:id", TwitterAPI.Controller, :favorite)
      post("/favorites/create", TwitterAPI.Controller, :favorite)
@@ -327,12 +377,10 @@ defmodule Pleroma.Web.Router do
      get("/users/:nickname/feed", OStatus.OStatusController, :feed)
      get("/users/:nickname", OStatus.OStatusController, :feed_redirect)
  
-    if @federating do
-      post("/users/:nickname/salmon", OStatus.OStatusController, :salmon_incoming)
-      post("/push/hub/:nickname", Websub.WebsubController, :websub_subscription_request)
-      get("/push/subscriptions/:id", Websub.WebsubController, :websub_subscription_confirmation)
-      post("/push/subscriptions/:id", Websub.WebsubController, :websub_incoming)
-    end
+    post("/users/:nickname/salmon", OStatus.OStatusController, :salmon_incoming)
+    post("/push/hub/:nickname", Websub.WebsubController, :websub_subscription_request)
+    get("/push/subscriptions/:id", Websub.WebsubController, :websub_subscription_confirmation)
+    post("/push/subscriptions/:id", Websub.WebsubController, :websub_incoming)
    end
  
    pipeline :activitypub do
@@ -349,31 +397,27 @@ defmodule Pleroma.Web.Router do
      get("/users/:nickname/outbox", ActivityPubController, :outbox)
    end
  
-  if @federating do
-    if @allow_relay do
-      scope "/relay", Pleroma.Web.ActivityPub do
-        pipe_through(:ap_relay)
-        get("/", ActivityPubController, :relay)
-      end
-    end
+  scope "/relay", Pleroma.Web.ActivityPub do
+    pipe_through(:ap_relay)
+    get("/", ActivityPubController, :relay)
+  end
  
-    scope "/", Pleroma.Web.ActivityPub do
-      pipe_through(:activitypub)
-      post("/users/:nickname/inbox", ActivityPubController, :inbox)
-      post("/inbox", ActivityPubController, :inbox)
-    end
+  scope "/", Pleroma.Web.ActivityPub do
+    pipe_through(:activitypub)
+    post("/users/:nickname/inbox", ActivityPubController, :inbox)
+    post("/inbox", ActivityPubController, :inbox)
+  end
  
-    scope "/.well-known", Pleroma.Web do
-      pipe_through(:well_known)
+  scope "/.well-known", Pleroma.Web do
+    pipe_through(:well_known)
  
-      get("/host-meta", WebFinger.WebFingerController, :host_meta)
-      get("/webfinger", WebFinger.WebFingerController, :webfinger)
-      get("/nodeinfo", Nodeinfo.NodeinfoController, :schemas)
-    end
+    get("/host-meta", WebFinger.WebFingerController, :host_meta)
+    get("/webfinger", WebFinger.WebFingerController, :webfinger)
+    get("/nodeinfo", Nodeinfo.NodeinfoController, :schemas)
+  end
  
-    scope "/nodeinfo", Pleroma.Web do
-      get("/:version", Nodeinfo.NodeinfoController, :nodeinfo)
-    end
+  scope "/nodeinfo", Pleroma.Web do
+    get("/:version", Nodeinfo.NodeinfoController, :nodeinfo)
    end
  
    scope "/", Pleroma.Web.MastodonAPI do
@@ -386,17 +430,27 @@ defmodule Pleroma.Web.Router do
    end
  
    pipeline :remote_media do
-    plug(:accepts, ["html"])
    end
  
    scope "/proxy/", Pleroma.Web.MediaProxy do
      pipe_through(:remote_media)
      get("/:sig/:url", MediaProxyController, :remote)
+    get("/:sig/:url/:filename", MediaProxyController, :remote)
+  end
+
+  if Mix.env() == :dev do
+    scope "/dev" do
+      pipe_through([:mailbox_preview])
+
+      forward("/mailbox", Plug.Swoosh.MailboxPreview, base_path: "/dev/mailbox")
+    end
    end
  
    scope "/", Fallback do
      get("/registration/:token", RedirectController, :registration_page)
      get("/*path", RedirectController, :redirector)
+
+    options("/*path", RedirectController, :empty)
    end
  end
  
@@ -404,14 +458,18 @@ defmodule Fallback.RedirectController do
    use Pleroma.Web, :controller
  
    def redirector(conn, _params) do
-    if Mix.env() != :test do
-      conn
-      |> put_resp_content_type("text/html")
-      |> send_file(200, "priv/static/index.html")
-    end
+    conn
+    |> put_resp_content_type("text/html")
+    |> send_file(200, Pleroma.Plugs.InstanceStatic.file_path("index.html"))
    end
  
    def registration_page(conn, params) do
      redirector(conn, params)
    end
+
+  def empty(conn, _params) do
+    conn
+    |> put_status(204)
+    |> text("")
+  end
  end