t/db_dependent/api/v1/patrons_password.t

   1 #!/usr/bin/perl
   2
   3 # This file is part of Koha.
   4 #
   5 # Koha is free software; you can redistribute it and/or modify it under the
   6 # terms of the GNU General Public License as published by the Free Software
   7 # Foundation; either version 3 of the License, or (at your option) any later
   8 # version.
   9 #
  10 # Koha is distributed in the hope that it will be useful, but WITHOUT ANY
  11 # WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR
  12 # A PARTICULAR PURPOSE.  See the GNU General Public License for more details.
  13 #
  14 # You should have received a copy of the GNU General Public License along
  15 # with Koha; if not, write to the Free Software Foundation, Inc.,
  16 # 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
  17
  18 use Modern::Perl;
  19
  20 use Test::More tests => 2;
  21
  22 use Test::Mojo;
  23 use Test::Warn;
  24
  25 use t::lib::TestBuilder;
  26 use t::lib::Mocks;
  27
  28 use Koha::Patrons;
  29
  30 my $schema  = Koha::Database->new->schema;
  31 my $builder = t::lib::TestBuilder->new;
  32
  33 # FIXME: sessionStorage defaults to mysql, but it seems to break transaction handling
  34 # this affects the other REST api tests
  35 t::lib::Mocks::mock_preference( 'SessionStorage', 'tmp' );
  36
  37 my $remote_address = '127.0.0.1';
  38 my $t              = Test::Mojo->new('Koha::REST::V1');
  39
  40 subtest 'set() (authorized user tests)' => sub {
  41
  42     plan tests => 21;
  43
  44     $schema->storage->txn_begin;
  45
  46     my ( $patron, $session ) = create_user_and_session({ authorized => 1 });
  47
  48     t::lib::Mocks::mock_preference( 'minPasswordLength',     3 );
  49     t::lib::Mocks::mock_preference( 'RequireStrongPassword', 0 );
  50
  51     my $new_password = 'abc';
  52
  53     my $tx
  54         = $t->ua->build_tx( POST => "/api/v1/patrons/"
  55             . $patron->id
  56             . "/password" => json => { password => $new_password, password_2 => $new_password } );
  57
  58     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
  59     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
  60     $t->request_ok($tx)->status_is(200)->json_is( '' );
  61
  62     $tx
  63         = $t->ua->build_tx( POST => "/api/v1/patrons/"
  64             . $patron->id
  65             . "/password" => json => { password => $new_password, password_2 => 'cde' } );
  66
  67     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
  68     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
  69     $t->request_ok($tx)->status_is(400)->json_is({ error => 'Passwords don\'t match' });
  70
  71     t::lib::Mocks::mock_preference( 'minPasswordLength', 5 );
  72     $tx
  73         = $t->ua->build_tx( POST => "/api/v1/patrons/"
  74             . $patron->id
  75             . "/password" => json => { password => $new_password, password_2 => $new_password } );
  76
  77     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
  78     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
  79     $t->request_ok($tx)->status_is(400)->json_is({ error => 'Password length (3) is shorter than required (5)' });
  80
  81     $new_password = 'abc   ';
  82     $tx
  83         = $t->ua->build_tx( POST => "/api/v1/patrons/"
  84             . $patron->id
  85             . "/password" => json => { password => $new_password, password_2 => $new_password } );
  86
  87     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
  88     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
  89     $t->request_ok($tx)->status_is(400)->json_is({ error => '[Password contains leading/trailing whitespace character(s)]' });
  90
  91     $new_password = 'abcdefg';
  92     $tx
  93         = $t->ua->build_tx( POST => "/api/v1/patrons/"
  94             . $patron->id
  95             . "/password" => json => { password => $new_password, password_2 => $new_password } );
  96
  97     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
  98     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
  99     $t->request_ok($tx)->status_is(200)->json_is('');
 100
 101     t::lib::Mocks::mock_preference( 'RequireStrongPassword', 1);
 102     $tx
 103         = $t->ua->build_tx( POST => "/api/v1/patrons/"
 104             . $patron->id
 105             . "/password" => json => { password => $new_password, password_2 => $new_password } );
 106
 107     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
 108     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
 109     $t->request_ok($tx)->status_is(400)->json_is({ error => '[Password is too weak]' });
 110
 111     $new_password = 'ABcde123%&';
 112     $tx
 113         = $t->ua->build_tx( POST => "/api/v1/patrons/"
 114             . $patron->id
 115             . "/password" => json => { password => $new_password, password_2 => $new_password } );
 116
 117     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
 118     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
 119     $t->request_ok($tx)->status_is(200)->json_is('');
 120
 121     $schema->storage->txn_rollback;
 122 };
 123
 124 subtest 'set_public() (unprivileged user tests)' => sub {
 125
 126     plan tests => 15;
 127
 128     $schema->storage->txn_begin;
 129
 130     my ( $patron, $session ) = create_user_and_session({ authorized => 0 });
 131     my $other_patron = $builder->build_object({ class => 'Koha::Patrons' });
 132
 133     # Enable the public API
 134     t::lib::Mocks::mock_preference( 'RESTPublicAPI', 1 );
 135
 136     t::lib::Mocks::mock_preference( 'OpacPasswordChange',    0 );
 137     t::lib::Mocks::mock_preference( 'minPasswordLength',     3 );
 138     t::lib::Mocks::mock_preference( 'RequireStrongPassword', 0 );
 139
 140     my $new_password = 'abc';
 141
 142     my $tx
 143         = $t->ua->build_tx( POST => "/api/v1/public/patrons/"
 144             . $other_patron->id
 145             . "/password" => json => { password => $new_password, password_2 => $new_password, old_password => 'blah' } );
 146
 147     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
 148     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
 149     $t->request_ok($tx)
 150       ->status_is(403)
 151       ->json_is({
 152           error => 'Configuration prevents password changes by unprivileged users'
 153         });
 154
 155     t::lib::Mocks::mock_preference( 'OpacPasswordChange', 1 );
 156
 157     my $password = 'holapassword';
 158     $patron->set_password( $password );
 159     $tx
 160         = $t->ua->build_tx( POST => "/api/v1/public/patrons/"
 161             . $other_patron->id
 162             . "/password" => json => { password => $new_password, password_2 => $new_password, old_password => $password } );
 163
 164     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
 165     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
 166     $t->request_ok($tx)
 167       ->status_is(403)
 168       ->json_is({
 169           error => "Changing other patron's password is forbidden"
 170         });
 171
 172     $tx
 173         = $t->ua->build_tx( POST => "/api/v1/public/patrons/"
 174             . $patron->id
 175             . "/password" => json => { password => $new_password, password_2 => 'wrong_password', old_password => $password } );
 176
 177     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
 178     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
 179     $t->request_ok($tx)
 180       ->status_is(400)
 181       ->json_is({
 182           error => "Passwords don't match"
 183         });
 184
 185     $tx
 186         = $t->ua->build_tx( POST => "/api/v1/public/patrons/"
 187             . $patron->id
 188             . "/password" => json => { password => $new_password, password_2 => $new_password, old_password => 'badpassword' } );
 189
 190     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
 191     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
 192     $t->request_ok($tx)
 193       ->status_is(400)
 194       ->json_is({
 195           error => "Invalid password"
 196         });
 197
 198     $tx
 199         = $t->ua->build_tx( POST => "/api/v1/public/patrons/"
 200             . $patron->id
 201             . "/password" => json => { password => $new_password, password_2 => $new_password, old_password => $password } );
 202
 203     $tx->req->cookies( { name => 'CGISESSID', value => $session->id } );
 204     $tx->req->env( { REMOTE_ADDR => '127.0.0.1' } );
 205     $t->request_ok($tx)
 206       ->status_is(200)
 207       ->json_is('');
 208
 209     $schema->storage->txn_rollback;
 210 };
 211
 212 sub create_user_and_session {
 213
 214     my ( $args ) = @_;
 215     my $flags = ( $args->{authorized} ) ? 16 : 0;
 216
 217     my $user = $builder->build_object(
 218         {
 219             class => 'Koha::Patrons',
 220             value => { flags => $flags }
 221         }
 222     );
 223
 224     # Create a session for the authorized user
 225     my $session = C4::Auth::get_session('');
 226     $session->param( 'number',   $user->borrowernumber );
 227     $session->param( 'id',       $user->userid );
 228     $session->param( 'ip',       '127.0.0.1' );
 229     $session->param( 'lasttime', time() );
 230     $session->flush;
 231
 232     return ( $user, $session );
 233 }