src/access_management/rest-plugin/roles_permissions.py

   1 # Copyright 2019 Nokia
   2
   3 # Licensed under the Apache License, Version 2.0 (the "License");
   4 # you may not use this file except in compliance with the License.
   5 # You may obtain a copy of the License at
   6 #
   7 #     http://www.apache.org/licenses/LICENSE-2.0
   8 #
   9 # Unless required by applicable law or agreed to in writing, software
  10 # distributed under the License is distributed on an "AS IS" BASIS,
  11 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  12 # See the License for the specific language governing permissions and
  13 # limitations under the License.
  14
  15 from am_api_base import *
  16 import access_management.db.amdb as amdb
  17
  18
  19 class RolesPermissions(AMApiBase):
  20
  21     """
  22     Role add permission operations
  23
  24     .. :quickref: Roles permission;Role add permission operations
  25
  26     .. http:post:: /am/v1/roles/permissions
  27
  28     **Start Role add permission**
  29
  30     **Example request**:
  31
  32     .. sourcecode:: http
  33
  34         POST am/v1/roles/permissions HTTP/1.1
  35         Host: haproxyvip:61200
  36         Accept: application/json
  37         {
  38             "role_name": "test_role"
  39             "res_path": "domain/domain_object"
  40             "res_op": "GET"
  41         }
  42
  43     :> json string role_name: The role the permission gets to be added to.
  44     :> json string res_path: The endpoint of the permission to be added.
  45     :> json string res_op: The method of the permission to be added.
  46
  47     **Example response**:
  48
  49     .. sourcecode:: http
  50
  51         HTTP/1.1 200 OK
  52         {
  53             "code": 0,
  54             "description": "Resource added to role"
  55         }
  56
  57     :> json int code: the status code
  58     :> json string description: the error description, present if code is non zero
  59
  60     Role remove permission operations
  61
  62     .. :quickref: Roles permission;Role remove permission operations
  63
  64     .. http:delete:: /am/v1/roles/permissions
  65
  66     **Start Role remove permission**
  67
  68     **Example request**:
  69
  70     .. sourcecode:: http
  71
  72         DELETE am/v1/roles/permissions HTTP/1.1
  73         Host: haproxyvip:61200
  74         Accept: application/json
  75         {
  76             "role_name": "test_role"
  77             "res_path": "domain/domain_object"
  78             "res_op": "GET"
  79         }
  80
  81     :> json string role_name: The role the permission gets to be removed from.
  82     :> json string res_path: The endpoint of the permission to be removed.
  83     :> json string res_op: The method of the permission to be removed.
  84
  85     **Example response**:
  86
  87     .. sourcecode:: http
  88
  89         HTTP/1.1 200 OK
  90         {
  91             "code": 0,
  92             "description": "Resource removed from role"
  93         }
  94
  95     :> json int code: the status code
  96     :> json string description: the error description, present if code is non zero
  97     """
  98
  99     endpoints = ['roles/permissions']
 100     parser_arguments = ['role_name',
 101                         'res_path',
 102                         'res_op']
 103
 104     def post(self):
 105         self.logger.info("Received a role add permission request!")
 106         args = self.parse_args()
 107
 108         state, permissions = self._add_permission(args)
 109
 110         if state:
 111             self.logger.info("The {1}:{2} permission added to {0} role!".format(args["role_name"], args["res_path"], args["res_op"]))
 112             return AMApiBase.embed_data({}, 0, permissions)
 113         else:
 114             self.logger.error("The request to add permission {1}:{2} to role {0} failed: {3}".format(args["role_name"], args["res_path"], args["res_op"], permissions))
 115             return AMApiBase.embed_data({}, 1, permissions)
 116
 117     def delete(self):
 118         self.logger.info("Received a role remove permission request!")
 119         args = self.parse_args()
 120
 121         state, result = self._remove_permission(args)
 122
 123         if state:
 124             self.logger.info("The {1}:{2} permission removed from {0} role!".format(args["role_name"], args["res_path"], args["res_op"]))
 125             return AMApiBase.embed_data({}, 0, result)
 126         else:
 127             self.logger.error("The request to remove permission {1}:{2} from role {0} failed: {3}".format(args["role_name"], args["res_path"], args["res_op"], result))
 128             return AMApiBase.construct_error_response(1, result)
 129
 130     def _remove_permission(self, args):
 131         state_open, message_open = self._open_db()
 132         if state_open:
 133             state_remove, message_remove = self._delete_role_resource(args)
 134             if state_remove:
 135                 state_close, message_close = self._close_db()
 136                 if not state_close:
 137                     self._close_db()
 138                 return True, state_remove
 139             else:
 140                 state_close, message_close = self._close_db()
 141                 if not state_close:
 142                     self._close_db()
 143                 return False, state_remove
 144         else:
 145             return False, message_open
 146
 147     def _add_permission(self, args):
 148         state_open, message_open = self._open_db()
 149         if state_open:
 150             state_add, message_add = self._add_resource_to_role(args)
 151             if state_add:
 152                 state_close, message_close = self._close_db()
 153                 if not state_close:
 154                     self._close_db()
 155                 return True, message_add
 156             else:
 157                 state_close, message_close = self._close_db()
 158                 if not state_close:
 159                     self._close_db()
 160                 return False, message_add
 161         else:
 162             return False, message_open
 163
 164     def _add_resource_to_role(self, args):
 165         try:
 166             self.db.add_resource_to_role(args["role_name"], args["res_path"], args["res_op"])
 167         except amdb.AlreadyExist:
 168             message = "Role-permission pair already exists in table: {0}:{1}, {2}".format(args["role_name"],args["res_path"],args["res_op"])
 169             self.logger.error(message)
 170             return False, message
 171         except amdb.NotAllowedOperation:
 172             message = "Service role cannot be modified: {0}".format(args["role_name"])
 173             self.logger.error(message)
 174             return False, message
 175         except Exception as ex:
 176             message = "Internal error: {0}".format(ex)
 177             self.logger.error(message)
 178             return False, message
 179         return True, "Permission added to role!"
 180
 181     def _delete_role_resource(self, args):
 182         try:
 183             self.db.delete_role_resource(args["role_name"],args["res_path"],args["res_op"])
 184         except amdb.NotExist:
 185             message = "Role {0} has no such resource:operation: {1}:{2}".format(args["role_name"],args["res_path"],args["res_op"])
 186             self.logger.error(message)
 187             return False, message
 188         except amdb.NotAllowedOperation:
 189             message = "Service role cannot be modified: {0}".format(args["role_name"])
 190             self.logger.error(message)
 191             return False, message
 192         except Exception as ex:
 193             message = "Internal error: {0}".format(ex)
 194             self.logger.error(message)
 195             return False, message
 196         return True, "Permission removed from role!"