флаг, требующий авторизации при запросе метода,

дополнения к методам: auth.confirm, auth.login, auth.restore, auth.signup
добавлены методы: auth.reset, users.email.exists, users.get_sig, users.update_password, users.update_password_fields, widgets.get_pages, widgets.get_widgets
+ мелкие исправления/изменения

Author: fuzegit

package/system/controllers/api/actions/method.php

@@ -152,13 +152,38 @@ public function run($method_name = null){
             );
         }
 
+        // если передан ip адрес, считаем его адресом посетителя
+        // для различных проверок компонентов
+        // т.к. движок определяет ip адрес места запроса
+        if($this->request->has('ip')){
+
+            $ip = $this->request->get('ip', '');
+
+            if (!$ip || filter_var($ip, FILTER_VALIDATE_IP) !== $ip) {
+                return $this->error(777);
+            }
+
+            cmsUser::setIp($ip);
+
+        }
+
         // проверяем sig, если включена проверка
         if(!empty($this->method_action->check_sig)){
             if(!check_sig($this->request->get('sig', ''))){
                 return $this->error(115);
             }
         }
 
+        // проверяем авторизацию, если метод её требует
+        if(!empty($this->method_action->auth_required)){
+            if(!$this->cms_user->is_logged){
+                return $this->error(71);
+            }
+        }
+
+        // ставим ключ API в свойство
+        $this->method_action->key = $this->key;
+
         // валидация параметров запроса
         $params_error = $this->validateMethodParams();
         if($params_error !== false){

package/system/controllers/api/api_actions/api_auth_confirm.php

@@ -14,12 +14,6 @@ class actionAuthApiAuthConfirm extends cmsAction {
      * @var array
      */
     public $result;
-    /**
-     * Флаг, обязующий проверять параметр sig запроса
-     * sig привязан к домену сайта и к ip адресу посетителя
-     * @var boolean
-     */
-    public $check_sig = true;
 
     /**
      * Возможные параметры запроса
@@ -30,21 +24,15 @@ class actionAuthApiAuthConfirm extends cmsAction {
      */
     public $request_params = array(
         'code' => array(
+            'default' => '',
             'rules'   => array(
                 array('required'),
                 array('regexp', '/^[0-9a-f]{32}$/i')
             )
-        ),
-        'user_id' => array(
-            'default' => 0,
-            'rules'   => array(
-                array('required'),
-                array('digits')
-            )
         )
     );
 
-    private $users_model, $user;
+    private $user;
 
     public function validateApiRequest() {
 
@@ -61,10 +49,8 @@ public function validateApiRequest() {
 
         }
 
-        $this->users_model = cmsCore::getModel('users');
-
-        $this->user = $this->users_model->getUserByPassToken($this->request->get('code'));
-        if (!$this->user || $this->user['id'] != $this->request->get('user_id')) {
+        $this->user = $this->model_users->getUserByPassToken($this->request->get('code', ''));
+        if (!$this->user) {
             return array('error_code' => 1110);
         }
 
@@ -74,12 +60,50 @@ public function validateApiRequest() {
 
     public function run(){
 
-        $this->users_model->unlockUser($this->user['id']);
-        $this->users_model->clearUserPassToken($this->user['id']);
+        $this->model_users->unlockUser($this->user['id']);
+        $this->model_users->clearUserPassToken($this->user['id']);
 
 		cmsEventsManager::hook('user_registered', $this->user);
 
+        $auth_user = array();
+
+        if ($this->options['reg_auto_auth']){
+
+            $this->user = $this->model_users->getUser($this->user['id']);
+
+            $this->user['avatar'] = cmsModel::yamlToArray($this->user['avatar']);
+            if ($this->user['avatar']){
+                foreach($this->user['avatar'] as $size => $path){
+                    $this->user['avatar'][$size] = $this->cms_config->upload_host_abs.'/'.$path;
+                }
+            }
+
+            $this->user = cmsEventsManager::hook('user_login', $this->user);
+
+            cmsUser::setUserSession($this->user);
+
+            $update_data = array(
+                'ip' => cmsUser::getIp()
+            );
+
+            $this->model->update('{users}', $this->user['id'], $update_data, true);
+
+            cmsEventsManager::hook('auth_login', $this->user['id']);
+
+            unset($this->user['password'], $this->user['password_salt'], $this->user['pass_token'], $this->user['date_token'], $this->user['ip'], $this->user['is_admin']);
+
+            $auth_user = array(
+                'session_name' => session_name(),
+                'session_id'   => session_id(),
+                'expires_in'   => ini_get('session.gc_maxlifetime'),
+                'user_id'      => $this->user['id'],
+                'user_info'    => $this->user
+            );
+
+        }
+
         $this->result = array(
+            'auth_user'    => $auth_user,
             'success'      => true,
             'success_text' => LANG_REG_SUCCESS_VERIFIED
         );

package/system/controllers/api/api_actions/api_auth_login.php

@@ -52,7 +52,7 @@ class actionAuthApiAuthLogin extends cmsAction {
         'user_info' => array(   // название ключа в $this->result
             'type'   => 'item', // list или item
             'unsets' => array(  // массив названий ключей для удаления
-                'password', 'password_salt', 'pass_token', 'date_token'
+                'password', 'password_salt', 'pass_token', 'date_token', 'ip', 'is_admin'
             )
         )
     );
@@ -61,15 +61,25 @@ class actionAuthApiAuthLogin extends cmsAction {
 
     public function validateApiRequest() {
 
-        $logged_id = cmsUser::login($this->request->get('email', ''), $this->request->get('password', ''), true);
+        // если авторизован, проверки не выполняем
+        if($this->cms_user->is_logged){
+
+            $this->user = $this->model_users->getUser($this->cms_user->id);
+
+            return false;
+
+        }
+
+
+        $logged_id = cmsUser::login($this->request->get('email', ''), $this->request->get('password', ''));
 
         if(!$logged_id){
             return array(
                 'error_code' => 5
             );
         }
 
-        $this->user = cmsCore::getModel('users')->getUser($logged_id);
+        $this->user = $this->model_users->getUser($logged_id);
 
         if ($this->user['is_admin']) {
 
@@ -99,6 +109,7 @@ public function run(){
         $this->result = array(
             'session_name' => session_name(),
             'session_id'   => session_id(),
+            'expires_in'   => ini_get('session.gc_maxlifetime'),
             'user_id'      => $this->user['id'],
             'user_info'    => $this->user
         );

package/system/controllers/api/api_actions/api_auth_reset.php

@@ -0,0 +1,120 @@
+<?php
+
+class actionAuthApiAuthReset extends cmsAction {
+
+    /**
+     * Блокировка прямого вызова экшена
+     * обязательное свойство
+     * @var boolean
+     */
+    public $lock_explicit_call = true;
+    /**
+     * Результат запроса
+     * обязательное свойство
+     * @var array
+     */
+    public $result;
+
+    /**
+     * Флаг, обязующий проверять параметр sig запроса
+     * sig привязан к домену сайта и к ip адресу посетителя
+     * @var boolean
+     */
+    public $check_sig = true;
+
+    /**
+     * Возможные параметры запроса
+     * с правилами валидации
+     * Если запрос имеет параметры, необходимо описать их здесь
+     * Правила валидации параметров задаются по аналогии с полями форм
+     * @var array
+     */
+    public $request_params = array(
+        'code' => array(
+            'default' => '',
+            'rules'   => array(
+                array('required'),
+                array('regexp', '/^[0-9a-f]{32}$/i')
+            )
+        ),
+        'password1' => array(
+            'default' => '',
+            'rules'   => array(
+                array('required'),
+                array('min_length', 6)
+            )
+        ),
+        'password2' => array(
+            'default' => '',
+            'rules'   => array(
+                array('required'),
+                array('min_length', 6)
+            )
+        ),
+    );
+
+    private $user;
+
+    public function validateApiRequest() {
+
+        $pass_token = $this->request->get('code', '');
+
+        $this->user = $this->model_users->getUserByPassToken($pass_token);
+
+        if (!$this->user) {
+            return array('error_code' => 113);
+        }
+
+        if ($this->user['is_admin']) {
+            return array('error_code' => 15);
+        }
+
+        if($this->user['is_locked']) {
+
+            return array('request_params' => array(
+                'code' => LANG_RESTORE_BLOCK.($this->user['lock_reason'] ? '. '.$this->user['lock_reason'] : '')
+            ));
+
+        }
+
+        if ((strtotime($this->user['date_token']) + 3600) < time()){
+
+            $this->model_users->clearUserPassToken($this->user['id']);
+
+            return array('request_params' => array(
+                'code' => LANG_RESTORE_TOKEN_EXPIRED
+            ));
+
+        }
+
+        if($this->request->get('password1', '') !== $this->request->get('password2', '')) {
+
+            return array('request_params' => array(
+                'password1' => LANG_REG_PASS_NOT_EQUAL,
+                'password2' => LANG_REG_PASS_NOT_EQUAL
+            ));
+
+        }
+
+        return false;
+
+    }
+
+    public function run(){
+
+        $this->model_users->updateUser($this->user['id'], array(
+            'password1'    => $this->request->get('password1', ''),
+            'password2'    => $this->request->get('password2', '')
+        ));
+
+        $this->model_users->clearUserPassToken($this->user['id']);
+
+        $this->result = array(
+            'user_id'      => $this->user['id'],
+            'success'      => true,
+            'success_text' => LANG_PASS_CHANGED
+        );
+
+    }
+
+}

package/system/controllers/api/api_actions/api_auth_restore.php

@@ -14,12 +14,6 @@ class actionAuthApiAuthRestore extends cmsAction {
      * @var array
      */
     public $result;
-    /**
-     * Флаг, обязующий проверять параметр sig запроса
-     * sig привязан к домену сайта и к ip адресу посетителя
-     * @var boolean
-     */
-    public $check_sig = true;
 
     /**
      * Возможные параметры запроса
@@ -38,15 +32,13 @@ class actionAuthApiAuthRestore extends cmsAction {
         ),
     );
 
-    private $users_model, $user;
+    private $user;
 
     public function validateApiRequest() {
 
         $email = $this->request->get('email', '');
 
-        $this->users_model = cmsCore::getModel('users');
-
-        $this->user = $this->users_model->getUserByEmail($email);
+        $this->user = $this->model_users->getUserByEmail($email);
 
         if (!$this->user) {
             return array('error_code' => 113);
@@ -78,7 +70,7 @@ public function run(){
 
         $pass_token = string_random(32, $this->user['email']);
 
-        $this->users_model->updateUserPassToken($this->user['id'], $pass_token);
+        $this->model_users->updateUserPassToken($this->user['id'], $pass_token);
 
         $messenger = cmsCore::getController('messages');
 
@@ -88,6 +80,7 @@ public function run(){
         $messenger->sendEmail($to, $letter, array(
             'nickname'    => $this->user['nickname'],
             'page_url'    => href_to_abs('auth', 'reset', $pass_token),
+            'pass_token'  => $pass_token,
             'valid_until' => html_date(date('d.m.Y H:i', time() + (24 * 3600)), true),
         ));