BookStack Code Mirror - bookstack/blob - app/Http/Controllers/Api/UserApiController.php

   1 <?php
   2
   3 namespace BookStack\Http\Controllers\Api;
   4
   5 use BookStack\Auth\User;
   6 use BookStack\Auth\UserRepo;
   7 use BookStack\Exceptions\UserUpdateException;
   8 use Closure;
   9 use Illuminate\Http\Request;
  10 use Illuminate\Support\Facades\DB;
  11 use Illuminate\Validation\Rules\Password;
  12 use Illuminate\Validation\Rules\Unique;
  13
  14 class UserApiController extends ApiController
  15 {
  16     protected $userRepo;
  17
  18     protected $fieldsToExpose = [
  19         'email', 'created_at', 'updated_at', 'last_activity_at', 'external_auth_id'
  20     ];
  21
  22     public function __construct(UserRepo $userRepo)
  23     {
  24         $this->userRepo = $userRepo;
  25
  26         // Checks for all endpoints in this controller
  27         $this->middleware(function ($request, $next) {
  28             $this->checkPermission('users-manage');
  29             $this->preventAccessInDemoMode();
  30             return $next($request);
  31         });
  32     }
  33
  34     protected function rules(int $userId = null): array
  35     {
  36         return [
  37             'create' => [
  38                 'name' => ['required', 'min:2'],
  39                 'email' => [
  40                     'required', 'min:2', 'email', new Unique('users', 'email')
  41                 ],
  42                 'external_auth_id' => ['string'],
  43                 'language' => ['string'],
  44                 'password' => [Password::default()],
  45                 'roles' => ['array'],
  46                 'roles.*' => ['integer'],
  47                 'send_invite' => ['boolean'],
  48             ],
  49             'update' => [
  50                 'name' => ['min:2'],
  51                 'email' => [
  52                     'min:2',
  53                     'email',
  54                     (new Unique('users', 'email'))->ignore($userId ?? null)
  55                 ],
  56                 'external_auth_id' => ['string'],
  57                 'language' => ['string'],
  58                 'password' => [Password::default()],
  59                 'roles' => ['array'],
  60                 'roles.*' => ['integer'],
  61             ],
  62             'delete' => [
  63                 'migrate_ownership_id' => ['integer', 'exists:users,id'],
  64             ],
  65         ];
  66     }
  67
  68     /**
  69      * Get a listing of users in the system.
  70      * Requires permission to manage users.
  71      */
  72     public function list()
  73     {
  74         $users = $this->userRepo->getApiUsersBuilder();
  75
  76         return $this->apiListingResponse($users, [
  77             'id', 'name', 'slug', 'email', 'external_auth_id',
  78             'created_at', 'updated_at', 'last_activity_at',
  79         ], [Closure::fromCallable([$this, 'listFormatter'])]);
  80     }
  81
  82     /**
  83      * Create a new user in the system.
  84      */
  85     public function create(Request $request)
  86     {
  87         $data = $this->validate($request, $this->rules()['create']);
  88         $sendInvite = ($data['send_invite'] ?? false) === true;
  89
  90         $user = null;
  91         DB::transaction(function () use ($data, $sendInvite, &$user) {
  92             $user = $this->userRepo->create($data, $sendInvite);
  93         });
  94
  95         $this->singleFormatter($user);
  96
  97         return response()->json($user);
  98     }
  99
 100     /**
 101      * View the details of a single user.
 102      * Requires permission to manage users.
 103      */
 104     public function read(string $id)
 105     {
 106         $user = $this->userRepo->getById($id);
 107         $this->singleFormatter($user);
 108
 109         return response()->json($user);
 110     }
 111
 112     /**
 113      * Update an existing user in the system.
 114      * @throws UserUpdateException
 115      */
 116     public function update(Request $request, string $id)
 117     {
 118         $data = $this->validate($request, $this->rules($id)['update']);
 119         $user = $this->userRepo->getById($id);
 120         $this->userRepo->update($user, $data, userCan('users-manage'));
 121         $this->singleFormatter($user);
 122
 123         return response()->json($user);
 124     }
 125
 126     /**
 127      * Delete a user from the system.
 128      * Can optionally accept a user id via `migrate_ownership_id` to indicate
 129      * who should be the new owner of their related content.
 130      * Requires permission to manage users.
 131      */
 132     public function delete(Request $request, string $id)
 133     {
 134         $user = $this->userRepo->getById($id);
 135         $newOwnerId = $request->get('migrate_ownership_id', null);
 136
 137         $this->userRepo->destroy($user, $newOwnerId);
 138
 139         return response('', 204);
 140     }
 141
 142     /**
 143      * Format the given user model for single-result display.
 144      */
 145     protected function singleFormatter(User $user)
 146     {
 147         $this->listFormatter($user);
 148         $user->load('roles:id,display_name');
 149         $user->makeVisible(['roles']);
 150     }
 151
 152     /**
 153      * Format the given user model for a listing multi-result display.
 154      */
 155     protected function listFormatter(User $user)
 156     {
 157         $user->makeVisible($this->fieldsToExpose);
 158         $user->setAttribute('profile_url', $user->getProfileUrl());
 159         $user->setAttribute('edit_url', $user->getEditUrl());
 160         $user->setAttribute('avatar_url', $user->getAvatar());
 161     }
 162 }