Code Review / releng.git / blob
? search:
summary | shortlog | log | commit | commitdiff | review | tree
history | raw | HEAD
Fix security issues of eval-s in testapi
[releng.git] / utils / test / result_collection_api / opnfv_testapi / resources / handlers.py
1 ##############################################################################
2 # Copyright (c) 2015 Orange
3 # guyrodrigue.koffi@orange.com / koffirodrigue@gmail.com
4 # All rights reserved. This program and the accompanying materials
5 # are made available under the terms of the Apache License, Version 2.0
6 # which accompanies this distribution, and is available at
7 # http://www.apache.org/licenses/LICENSE-2.0
8 # feng.xiaowei@zte.com.cn refactor db.pod to db.pods         5-19-2016
9 # feng.xiaowei@zte.com.cn refactor test_project to project   5-19-2016
10 # feng.xiaowei@zte.com.cn refactor response body             5-19-2016
11 # feng.xiaowei@zte.com.cn refactor pod/project response info 5-19-2016
12 # feng.xiaowei@zte.com.cn refactor testcase related handler  5-20-2016
13 # feng.xiaowei@zte.com.cn refactor result related handler    5-23-2016
14 # feng.xiaowei@zte.com.cn refactor dashboard related handler 5-24-2016
15 # feng.xiaowei@zte.com.cn add methods to GenericApiHandler   5-26-2016
16 # feng.xiaowei@zte.com.cn remove PodHandler                  5-26-2016
17 # feng.xiaowei@zte.com.cn remove ProjectHandler              5-26-2016
18 # feng.xiaowei@zte.com.cn remove TestcaseHandler             5-27-2016
19 # feng.xiaowei@zte.com.cn remove ResultHandler               5-29-2016
20 # feng.xiaowei@zte.com.cn remove DashboardHandler            5-30-2016
21 ##############################################################################
22
23 import json
24 from datetime import datetime
25
26 from tornado import gen
27 from tornado.web import RequestHandler, asynchronous, HTTPError
28
29 from models import CreateResponse
30 from opnfv_testapi.common.constants import DEFAULT_REPRESENTATION, \
31     HTTP_BAD_REQUEST, HTTP_NOT_FOUND, HTTP_FORBIDDEN
32 from opnfv_testapi.tornado_swagger import swagger
33
34
35 class GenericApiHandler(RequestHandler):
36     def __init__(self, application, request, **kwargs):
37         super(GenericApiHandler, self).__init__(application, request, **kwargs)
38         self.db = self.settings["db"]
39         self.json_args = None
40         self.table = None
41         self.table_cls = None
42         self.db_projects = 'projects'
43         self.db_pods = 'pods'
44         self.db_testcases = 'testcases'
45         self.db_results = 'results'
46
47     def prepare(self):
48         if self.request.method != "GET" and self.request.method != "DELETE":
49             if self.request.headers.get("Content-Type") is not None:
50                 if self.request.headers["Content-Type"].startswith(
51                         DEFAULT_REPRESENTATION):
52                     try:
53                         self.json_args = json.loads(self.request.body)
54                     except (ValueError, KeyError, TypeError) as error:
55                         raise HTTPError(HTTP_BAD_REQUEST,
56                                         "Bad Json format [{}]".
57                                         format(error))
58
59     def finish_request(self, json_object=None):
60         if json_object:
61             self.write(json.dumps(json_object))
62         self.set_header("Content-Type", DEFAULT_REPRESENTATION)
63         self.finish()
64
65     def _create_response(self, resource):
66         href = self.request.full_url() + '/' + str(resource)
67         return CreateResponse(href=href).format()
68
69     def format_data(self, data):
70         cls_data = self.table_cls.from_dict(data)
71         return cls_data.format_http()
72
73     @asynchronous
74     @gen.coroutine
75     def _create(self, miss_checks, db_checks, **kwargs):
76         """
77         :param miss_checks: [miss1, miss2]
78         :param db_checks: [(table, exist, query, error)]
79         """
80         if self.json_args is None:
81             raise HTTPError(HTTP_BAD_REQUEST, "no body")
82
83         data = self.table_cls.from_dict(self.json_args)
84         for miss in miss_checks:
85             miss_data = data.__getattribute__(miss)
86             if miss_data is None or miss_data == '':
87                 raise HTTPError(HTTP_BAD_REQUEST,
88                                 '{} missing'.format(miss))
89
90         for k, v in kwargs.iteritems():
91             data.__setattr__(k, v)
92
93         for table, exist, query, error in db_checks:
94             check = yield self._eval_db_find_one(query(data), table)
95             if (exist and not check) or (not exist and check):
96                 code, message = error(data)
97                 raise HTTPError(code, message)
98
99         if self.table != 'results':
100             data.creation_date = datetime.now()
101         _id = yield self._eval_db(self.table, 'insert', data.format(),
102                                   check_keys=False)
103         if 'name' in self.json_args:
104             resource = data.name
105         else:
106             resource = _id
107         self.finish_request(self._create_response(resource))
108
109     @asynchronous
110     @gen.coroutine
111     def _list(self, query=None, res_op=None, *args, **kwargs):
112         if query is None:
113             query = {}
114         data = []
115         cursor = self._eval_db(self.table, 'find', query)
116         if 'sort' in kwargs:
117             cursor = cursor.sort(kwargs.get('sort'))
118         if 'last' in kwargs:
119             cursor = cursor.limit(kwargs.get('last'))
120         while (yield cursor.fetch_next):
121             data.append(self.format_data(cursor.next_object()))
122         if res_op is None:
123             res = {self.table: data}
124         else:
125             res = res_op(data, *args)
126         self.finish_request(res)
127
128     @asynchronous
129     @gen.coroutine
130     def _get_one(self, query):
131         data = yield self._eval_db_find_one(query)
132         if data is None:
133             raise HTTPError(HTTP_NOT_FOUND,
134                             "[{}] not exist in table [{}]"
135                             .format(query, self.table))
136         self.finish_request(self.format_data(data))
137
138     @asynchronous
139     @gen.coroutine
140     def _delete(self, query):
141         data = yield self._eval_db_find_one(query)
142         if data is None:
143             raise HTTPError(HTTP_NOT_FOUND,
144                             "[{}] not exit in table [{}]"
145                             .format(query, self.table))
146
147         yield self._eval_db(self.table, 'remove', query)
148         self.finish_request()
149
150     @asynchronous
151     @gen.coroutine
152     def _update(self, query, db_keys):
153         if self.json_args is None:
154             raise HTTPError(HTTP_BAD_REQUEST, "No payload")
155
156         # check old data exist
157         from_data = yield self._eval_db_find_one(query)
158         if from_data is None:
159             raise HTTPError(HTTP_NOT_FOUND,
160                             "{} could not be found in table [{}]"
161                             .format(query, self.table))
162
163         data = self.table_cls.from_dict(from_data)
164         # check new data exist
165         equal, new_query = self._update_query(db_keys, data)
166         if not equal:
167             to_data = yield self._eval_db_find_one(new_query)
168             if to_data is not None:
169                 raise HTTPError(HTTP_FORBIDDEN,
170                                 "{} already exists in table [{}]"
171                                 .format(new_query, self.table))
172
173         # we merge the whole document """
174         edit_request = data.format()
175         edit_request.update(self._update_requests(data))
176
177         """ Updating the DB """
178         yield self._eval_db(self.table, 'update', query, edit_request,
179                             check_keys=False)
180         edit_request['_id'] = str(data._id)
181         self.finish_request(edit_request)
182
183     def _update_requests(self, data):
184         request = dict()
185         for k, v in self.json_args.iteritems():
186             request = self._update_request(request, k, v,
187                                            data.__getattribute__(k))
188         if not request:
189             raise HTTPError(HTTP_FORBIDDEN, "Nothing to update")
190         return request
191
192     @staticmethod
193     def _update_request(edit_request, key, new_value, old_value):
194         """
195         This function serves to prepare the elements in the update request.
196         We try to avoid replace the exact values in the db
197         edit_request should be a dict in which we add an entry (key) after
198         comparing values
199         """
200         if not (new_value is None):
201             if new_value != old_value:
202                 edit_request[key] = new_value
203
204         return edit_request
205
206     def _update_query(self, keys, data):
207         query = dict()
208         equal = True
209         for key in keys:
210             new = self.json_args.get(key)
211             old = data.__getattribute__(key)
212             if new is None:
213                 new = old
214             elif new != old:
215                 equal = False
216             query[key] = new
217         return equal, query
218
219     def _eval_db(self, table, method, *args, **kwargs):
220         exec_collection = self.db.__getattr__(table)
221         return exec_collection.__getattribute__(method)(*args, **kwargs)
222
223     def _eval_db_find_one(self, query, table=None):
224         if table is None:
225             table = self.table
226         return self._eval_db(table, 'find_one', query)
227
228
229 class VersionHandler(GenericApiHandler):
230     @swagger.operation(nickname='list')
231     def get(self):
232         """
233             @description: list all supported versions
234             @rtype: L{Versions}
235         """
236         versions = [{'version': 'v1.0', 'description': 'basics'}]
237         self.finish_request({'versions': versions})