BookStack Code Mirror - bookstack/blob - app/Api/UserApiTokenController.php

   1 <?php
   2
   3 namespace BookStack\Api;
   4
   5 use BookStack\Activity\ActivityType;
   6 use BookStack\Http\Controller;
   7 use BookStack\Users\Models\User;
   8 use Illuminate\Http\Request;
   9 use Illuminate\Support\Facades\Hash;
  10 use Illuminate\Support\Str;
  11
  12 class UserApiTokenController extends Controller
  13 {
  14     /**
  15      * Show the form to create a new API token.
  16      */
  17     public function create(Request $request, int $userId)
  18     {
  19         $this->checkPermission('access-api');
  20         $this->checkPermissionOrCurrentUser('users-manage', $userId);
  21         $this->updateContext($request);
  22
  23         $user = User::query()->findOrFail($userId);
  24
  25         $this->setPageTitle(trans('settings.user_api_token_create'));
  26
  27         return view('users.api-tokens.create', [
  28             'user' => $user,
  29             'back' => $this->getRedirectPath($user),
  30         ]);
  31     }
  32
  33     /**
  34      * Store a new API token in the system.
  35      */
  36     public function store(Request $request, int $userId)
  37     {
  38         $this->checkPermission('access-api');
  39         $this->checkPermissionOrCurrentUser('users-manage', $userId);
  40
  41         $this->validate($request, [
  42             'name'       => ['required', 'max:250'],
  43             'expires_at' => ['date_format:Y-m-d'],
  44         ]);
  45
  46         $user = User::query()->findOrFail($userId);
  47         $secret = Str::random(32);
  48
  49         $token = (new ApiToken())->forceFill([
  50             'name'       => $request->get('name'),
  51             'token_id'   => Str::random(32),
  52             'secret'     => Hash::make($secret),
  53             'user_id'    => $user->id,
  54             'expires_at' => $request->get('expires_at') ?: ApiToken::defaultExpiry(),
  55         ]);
  56
  57         while (ApiToken::query()->where('token_id', '=', $token->token_id)->exists()) {
  58             $token->token_id = Str::random(32);
  59         }
  60
  61         $token->save();
  62
  63         session()->flash('api-token-secret:' . $token->id, $secret);
  64         $this->logActivity(ActivityType::API_TOKEN_CREATE, $token);
  65
  66         return redirect($token->getUrl());
  67     }
  68
  69     /**
  70      * Show the details for a user API token, with access to edit.
  71      */
  72     public function edit(Request $request, int $userId, int $tokenId)
  73     {
  74         $this->updateContext($request);
  75
  76         [$user, $token] = $this->checkPermissionAndFetchUserToken($userId, $tokenId);
  77         $secret = session()->pull('api-token-secret:' . $token->id, null);
  78
  79         $this->setPageTitle(trans('settings.user_api_token'));
  80
  81         return view('users.api-tokens.edit', [
  82             'user'   => $user,
  83             'token'  => $token,
  84             'model'  => $token,
  85             'secret' => $secret,
  86             'back' => $this->getRedirectPath($user),
  87         ]);
  88     }
  89
  90     /**
  91      * Update the API token.
  92      */
  93     public function update(Request $request, int $userId, int $tokenId)
  94     {
  95         $this->validate($request, [
  96             'name'       => ['required', 'max:250'],
  97             'expires_at' => ['date_format:Y-m-d'],
  98         ]);
  99
 100         [$user, $token] = $this->checkPermissionAndFetchUserToken($userId, $tokenId);
 101         $token->fill([
 102             'name'       => $request->get('name'),
 103             'expires_at' => $request->get('expires_at') ?: ApiToken::defaultExpiry(),
 104         ])->save();
 105
 106         $this->logActivity(ActivityType::API_TOKEN_UPDATE, $token);
 107
 108         return redirect($token->getUrl());
 109     }
 110
 111     /**
 112      * Show the delete view for this token.
 113      */
 114     public function delete(int $userId, int $tokenId)
 115     {
 116         [$user, $token] = $this->checkPermissionAndFetchUserToken($userId, $tokenId);
 117
 118         $this->setPageTitle(trans('settings.user_api_token_delete'));
 119
 120         return view('users.api-tokens.delete', [
 121             'user'  => $user,
 122             'token' => $token,
 123         ]);
 124     }
 125
 126     /**
 127      * Destroy a token from the system.
 128      */
 129     public function destroy(int $userId, int $tokenId)
 130     {
 131         [$user, $token] = $this->checkPermissionAndFetchUserToken($userId, $tokenId);
 132         $token->delete();
 133
 134         $this->logActivity(ActivityType::API_TOKEN_DELETE, $token);
 135
 136         return redirect($this->getRedirectPath($user));
 137     }
 138
 139     /**
 140      * Check the permission for the current user and return an array
 141      * where the first item is the user in context and the second item is their
 142      * API token in context.
 143      */
 144     protected function checkPermissionAndFetchUserToken(int $userId, int $tokenId): array
 145     {
 146         $this->checkPermissionOr('users-manage', function () use ($userId) {
 147             return $userId === user()->id && userCan('access-api');
 148         });
 149
 150         $user = User::query()->findOrFail($userId);
 151         $token = ApiToken::query()->where('user_id', '=', $user->id)->where('id', '=', $tokenId)->firstOrFail();
 152
 153         return [$user, $token];
 154     }
 155
 156     /**
 157      * Update the context for where the user is coming from to manage API tokens.
 158      * (Track of location for correct return redirects)
 159      */
 160     protected function updateContext(Request $request): void
 161     {
 162         $context = $request->query('context');
 163         if ($context) {
 164             session()->put('api-token-context', $context);
 165         }
 166     }
 167
 168     /**
 169      * Get the redirect path for the current api token editing session.
 170      * Attempts to recall the context of where the user is editing from.
 171      */
 172     protected function getRedirectPath(User $relatedUser): string
 173     {
 174         $context = session()->get('api-token-context');
 175         if ($context === 'settings' || user()->id !== $relatedUser->id) {
 176             return $relatedUser->getEditUrl('#api_tokens');
 177         }
 178
 179         return url('/my-account/auth#api_tokens');
 180     }
 181 }