devise_token_auth 0.1.43.beta1 → 0.1.43

data/app/models/devise_token_auth/concerns/user_omniauth_callbacks.rb

@@ -2,7 +2,8 @@ module DeviseTokenAuth::Concerns::UserOmniauthCallbacks
   extend ActiveSupport::Concern
 
   included do
-    validates :email, presence: true, email: true, if: :email_provider?
+    validates :email, presence: true,if: :email_provider?
+    validates :email, email: true, allow_nil: true, allow_blank: true, if: :email_provider?
     validates_presence_of :uid, unless: :email_provider?
 
     # only validate unique emails among email registration users

data/config/initializers/devise.rb

@@ -86,15 +86,15 @@ Devise.setup do |config|
   # config.clean_up_csrf_token_on_authentication = true
 
   # ==> Configuration for :database_authenticatable
-  # For bcrypt, this is the cost for hashing the password and defaults to 10. If
-  # using other encryptors, it sets how many times you want the password re-encrypted.
+  # For bcrypt, this is the cost for hashing the password and defaults to 11. If
+  # using other algorithms, it sets how many times you want the password to be hashed.
   #
   # Limiting the stretches to just one in testing will increase the performance of
   # your test suite dramatically. However, it is STRONGLY RECOMMENDED to not use
   # a value less than 10 in other environments. Note that, for bcrypt (the default
-  # encryptor), the cost increases exponentially with the number of stretches (e.g.
+  # algorithm), the cost increases exponentially with the number of stretches (e.g.
   # a value of 20 is already extremely slow: approx. 60 seconds for 1 calculation).
-  config.stretches = Rails.env.test? ? 1 : 10
+  config.stretches = Rails.env.test? ? 1 : 11
 
   # Setup a pepper to generate the encrypted password.
   # config.pepper = '8ff086600aff82d68ff1e00d23c99c821e66652ec8c2a5b48f58de4a56b325cb532f6db660cf58fc5ecb473b9d851be8cd1badff0a1053bc9dc045f78b6e6772'

data/config/locales/pl.yml

@@ -30,19 +30,19 @@ pl:
   devise:
     mailer:
       confirmation_instructions:
-        subject: "Instrukcji potwierdzania"
-        confirm_link_msg: "Możesz potwierdzić swój e-mail konta poprzez link poniżej :"
+        subject: "Instrukcja potwierdzania"
+        confirm_link_msg: "Możesz potwierdzić swój e-mail poprzez link poniżej:"
         confirm_account_link: "Potwierdź swoje konto"
       reset_password_instructions:
         subject: "Instrukcje resetowania hasła"
-        request_reset_link_msg: "Ktoś o link do zmiany hasła. Można to zrobić za pośrednictwem linku poniżej."
+        request_reset_link_msg: "Otrzymaliśmy prośbę o zmianę Twojego hasła. Możesz tego dokonać poprzez link poniżej:"
         password_change_link: "Zmień hasło"
-        ignore_mail_msg: "Jeśli jej nie potrzebuję, zignoruj ​​tę wiadomość."
-        no_changes_msg: "Twoje hasło nie zmieni, dopóki dostęp powyższy link i utwórz nowy."
+        ignore_mail_msg: "Jeśli to nie Ty próbowałeś zmienić swoje hasło to zignoruj ten email."
+        no_changes_msg: "Twoje hasło nie zmieni się do momentu ustawienia nowego."
       unlock_instructions:
         subject: "Instrukcje do odblokowania"
-        account_lock_msg: "Twoje konto zostało zablokowane z powodu zbyt dużej liczby nieudanych znak w próbach."
-        unlock_link_msg: "Kliknij poniższy link, aby odblokować konto :"
-        unlock_link: "Odblokować konto"
-  hello: "halo"
-  welcome: "witam"
+        account_lock_msg: "Twoje konto zostało zablokowane z powodu zbyt dużej liczby nieudanych prób logowania."
+        unlock_link_msg: "Kliknij poniższy link, aby odblokować konto:"
+        unlock_link: "Odblokuj konto"
+  hello: "Witaj"
+  welcome: "Witaj"

data/config/locales/uk.yml

@@ -0,0 +1,59 @@
+uk:
+  devise_token_auth:
+    sessions:
+      not_confirmed: "Будь ласка підтвердіть реєстрацію згідно інструкціям як ми вислали на Вашу пошту %{email}"
+      bad_credentials: "Логін або пароль введені невірно. Будь ласка, спробуйте ще"
+      not_supported: "Використовуйте POST /sign_in для входу. GET запити не пітримуються."
+      user_not_found: "Користувач не знайдений або не увійшов в систему"
+    token_validations:
+      invalid: "Помилкові дані"
+    registrations:
+      missing_confirm_success_url: "Немає параметру 'confirm_success_url'"
+      redirect_url_not_allowed: "Перенаправлення до '%{redirect_url}' не дозволено."
+      email_already_exists: "Акаунт для емейлу '%{email}' вже існує"
+      account_with_uid_destroyed: "Акаунт з UID '%{uid}' було видалено."
+      account_to_destroy_not_found: "Неможливо знайти акаунт для видалення."
+      user_not_found: "Користувача не знайдено"
+    passwords:
+      missing_email: "Ви маєте ввести email адресу."
+      missing_redirect_url: "Немає URL для перенаправлення."
+      not_allowed_redirect_url: "Перенаправлення до '%{redirect_url}' не дозволено."
+      sended: "Лист з інструкціями для скидання паролю відправлено на '%{email}'."
+      user_not_found: "Неможливо знайти користувача по email '%{email}'."
+      password_not_required: "Цей акаунт не потребує паролю. Увійдіть використовуючи натомість акаунт провайдера '%{provider}'."
+      missing_passwords: "Ви маєте заповнити поля з назвами 'Пароль' та 'Підтвердження паролю'."
+      successfully_updated: "Ваш пароль було успішно оновлено."
+    unlocks:
+      missing_email: "Ви маєте вказати адресу електронної пошти."
+      missing_redirect_url: "Відсутня адреса переадресації."
+      not_allowed_redirect_url: "Переадресація до %{redirect_url} не дозволена."
+      sended: "Інструкція по відновленню паролю відправлена на Вашу електронну адресу."
+      user_not_found: "Не виходить знайти користувача з електронною адресою %{email}."
+      password_not_required: "Цей обліковий запис не потребує паролю. Увійдіть використовуючи обліковий запис '%{provider}'."
+      missing_passwords: "Ви маєте заповнити поля 'пароль' і 'підтвердіть пароль'."
+      successfully_updated: "Ваш пароль успішно оновлено."
+  errors:
+    messages:
+      validate_sign_up_params: "Будь ласка, відправте вірні дані для реєстрації в тілі запиту."
+      validate_account_update_params: "Будь ласка, відправте вірні дані для оновлення акаунту в тілі запиту."
+      not_email: "не є електронною адресою"
+  devise:
+    mailer:
+      confirmation_instructions:
+        subject: "Інструкції підтвердження"
+        confirm_link_msg: "Ви можете підтвердити вашу адресу електронної пошти через посилання нижче:"
+        confirm_account_link: "Підтвердіть свій обліковий запис"
+      reset_password_instructions:
+        subject: "Інструкція по скиданню паролю"
+        request_reset_link_msg: "Хтось зробив запит на зміну паролю. Ви можете зробити це через посилання нижче."
+        password_change_link: "Змінити пароль"
+        ignore_mail_msg: "Якщо Ви не робили запит на це, Ви можете проігнорувати цей лист."
+        no_changes_msg: "Ваш пароль не зміниться, доки Ви не відкриєте посилання вище і не створите новий пароль."
+      unlock_instructions:
+        subject: "Інструкції з розблокування"
+        account_lock_msg: "Ваш акаунт було заблоковано через надмірну кількість невдалих спроб входу."
+        unlock_link_msg: "Перейдіть за посиланням нижче, щоб розблокувати свій акаунт:"
+        unlock_link: "Розблокувати мій обліковий запис"
+  hello: "привіт"
+  welcome: "вітаємо"
+  

data/config/locales/vi.yml

@@ -0,0 +1,50 @@
+vi:
+  devise_token_auth:
+    sessions:
+      not_confirmed: "Mail xác nhận tài khoản đã được gửi tới tài khoản của bạn tại '%{email}'. Bận cần phải làm theo những hướng dẫn trong email để tài khoản có thể xác nhận"
+      bad_credentials: "Thông tin đăng nhập không hợp lệ. Xin thử lại."
+      not_supported: "Sử dụng POST /sign_in để đăng nhập. Phương thức GET không được hỗ trợ."
+      user_not_found: "Người dùng đã không được tìm thấy hoặc không đăng nhập."
+    token_validations:
+      invalid: "Thông tin đăng nhập không hợp lệ."
+    registrations:
+      missing_confirm_success_url: "Thiếu 'confirm_success_url' tham số."
+      redirect_url_not_allowed: "Chuyển hướng tới '%{redirect_url}' không được phép."
+      email_already_exists: "Tài khoản đã tồn tại của '%{email}'"
+      account_with_uid_destroyed: "Tài khoản với UID '%{uid}' vừa bị phá hủy."
+      account_to_destroy_not_found: "Không thể xác định tài khoản cho việc phá hủy."
+      user_not_found: "Người dùng không tìm thấy."
+    passwords:
+      missing_email: "Bạn cần cung cấp địa chỉ email."
+      missing_redirect_url: "Thiếu đường đẫn URL."
+      not_allowed_redirect_url: "Chuyển hướng tới '%{redirect_url}' không được phép."
+      sended: "Mail đã được gửi tới '%{email}' tiếp tục làm theo những hướng dẫn để khởi tạo lại mật khẩu."
+      user_not_found: "Không thể tìm ra người dùng với email '%{email}'."
+      password_not_required: "Tài khoản này không yêu cầu mật khẩu. Thay thế đăng nhập bằng cách sử dụng '%{provider}' của tài khoản ."
+      missing_passwords: "Bạn cần điền đủ những trường như 'mật khẩu' và 'xác nhận mật khẩu'."
+      successfully_updated: "Mật khẩu của bạn vừa được cập nhật thành công."
+    unlocks:
+      missing_email: "Bạn cần phải cung cấp địa chỉ email."
+      sended: "Mail đã được gửi tới '%{email}' tiếp tục làm theo những hướng đẫn để mở khóa tài khoản."
+      user_not_found: "Không thể tìm ra người dùng với email '%{email}'."
+  errors:
+    messages:
+      validate_sign_up_params: "Vui lòng gửi đúng dữ liệu đăng ký trong phần dữ liệu gửi lên."
+      validate_account_update_params: "Vui lòng gửi đúng dữ liệu cập nhật tài khoản trong phần dữ liệu gửi lên ."
+      not_email: "không phải là email"
+  devise:
+    mailer:
+      confirmation_instructions:
+        confirm_link_msg: "Bạn có thể xác nhận tài khoản email bằng đường link dưới đây:"
+        confirm_account_link: "Xác nhận tài khoản"
+      reset_password_instructions:
+        request_reset_link_msg: "Ai đó đã gửi yêu cầu để đổi mật khẩu của bạn. Bạn có thể thực hiện điều này thông qua đường dẫn bên dưới."
+        password_change_link: "Đổi mật khẩu của tôi"
+        ignore_mail_msg: "Nếu bạn đã không gửi yêu cầu này, thì vui lòng bỏ qua email này."
+        no_changes_msg: "Mật khẩu của bạn sẽ không thay đổi cho đến khi bạn truy cập liên kết ở trên và tạo một mật khẩu mới."
+      unlock_instructions:
+        account_lock_msg: "Tài khoản của bạn đã bị khóa do có quá nhiều lần đăng nhập không thành công."
+        unlock_link_msg: "Chọn vào đường dẫn bên dưới để mở khóa tài khoản:"
+        unlock_link: "Mở khóa tài khoản"
+  hello: "xin chào"
+  welcome: "chào mừng"

data/lib/devise_token_auth/controllers/helpers.rb

@@ -113,7 +113,7 @@ module DeviseTokenAuth
         mapping = mapping.name
 
         class_eval <<-METHODS, __FILE__, __LINE__ + 1
-          def authenticate_#{mapping}!
+          def authenticate_#{mapping}!(opts={})
             unless current_#{mapping}
               render_authenticate_error
             end

data/lib/devise_token_auth/engine.rb

@@ -21,7 +21,8 @@ module DeviseTokenAuth
                  :enable_standard_devise_support,
                  :remove_tokens_after_password_reset,
                  :default_callbacks,
-                 :headers_names
+                 :headers_names,
+                 :bypass_sign_in
 
   self.change_headers_on_each_request       = true
   self.max_number_of_devices                = 10
@@ -40,6 +41,7 @@ module DeviseTokenAuth
                                                :'expiry' => 'expiry',
                                                :'uid' => 'uid',
                                                :'token-type' => 'token-type' }
+  self.bypass_sign_in                       = true
 
   def self.setup(&block)
     yield self

data/lib/devise_token_auth/version.rb

@@ -1,3 +1,3 @@
 module DeviseTokenAuth
-  VERSION = '0.1.43.beta1'
+  VERSION = '0.1.43'
 end

data/lib/generators/devise_token_auth/templates/user.rb

@@ -1,7 +1,7 @@
 class <%= user_class.capitalize %> < ActiveRecord::Base
-  # Include default devise modules.
+  # Include default devise modules. Others available are:
+  # :confirmable, :lockable, :timeoutable and :omniauthable
   devise :database_authenticatable, :registerable,
-          :recoverable, :rememberable, :trackable, :validatable,
-          :confirmable, :omniauthable
+         :recoverable, :rememberable, :trackable, :validatable
   include DeviseTokenAuth::Concerns::User
 end

data/test/controllers/demo_user_controller_test.rb

@@ -409,6 +409,62 @@ class DemoUserControllerTest < ActionDispatch::IntegrationTest
       end
     end
 
+    describe 'bypass_sign_in' do
+      before do
+        @resource = users(:unconfirmed_email_user)
+        @resource.save!
+
+        @auth_headers = @resource.create_new_auth_token
+
+        @token     = @auth_headers['access-token']
+        @client_id = @auth_headers['client']
+        @expiry    = @auth_headers['expiry']
+      end
+      describe 'is default value (true)' do
+        before do
+          age_token(@resource, @client_id)
+
+          get '/demo/members_only', params: {}, headers: @auth_headers
+
+          @access_token = response.headers['access-token']
+          @response_status = response.status
+        end
+
+        it 'should allow the request through' do
+          assert_equal 200, @response_status
+        end
+
+        it 'should return auth headers' do
+          assert @access_token
+        end
+
+        it 'should set current user' do
+          assert_equal @controller.current_user, @resource
+        end
+      end
+      describe 'is false' do
+        before do
+          DeviseTokenAuth.bypass_sign_in = false
+          age_token(@resource, @client_id)
+
+          get '/demo/members_only', params: {}, headers: @auth_headers
+
+          @access_token = response.headers['access-token']
+          @response_status = response.status
+
+          DeviseTokenAuth.bypass_sign_in = true
+        end
+
+        it 'should not allow the request through' do
+          refute_equal 200, @response_status
+        end
+
+        it 'should not return auth headers from the first request' do
+          assert_nil @access_token
+        end
+      end
+    end
+
     describe 'enable_standard_devise_support' do
       before do
         @resource = users(:confirmed_email_user)

data/test/controllers/devise_token_auth/omniauth_callbacks_controller_test.rb

@@ -276,11 +276,13 @@ class OmniauthTest < ActionDispatch::IntegrationTest
     end
 
     test 'renders expected data' do
-      get '/auth/facebook',
-          params: { auth_origin_url: @redirect_url,
-                    omniauth_window_type: 'newWindow' }
+      silence_omniauth do
+        get '/auth/facebook',
+            params: { auth_origin_url: @redirect_url,
+                      omniauth_window_type: 'newWindow' }
 
-      follow_all_redirects!
+        follow_all_redirects!
+      end
 
       assert_equal 200, response.status
 
@@ -290,8 +292,10 @@ class OmniauthTest < ActionDispatch::IntegrationTest
     end
 
     test 'renders something with no auth_origin_url' do
-      get '/auth/facebook'
-      follow_all_redirects!
+      silence_omniauth do
+        get '/auth/facebook'
+        follow_all_redirects!
+      end
       assert_equal 200, response.status
       assert_select 'body', 'invalid_credentials'
     end

data/test/controllers/devise_token_auth/passwords_controller_test.rb

@@ -166,7 +166,7 @@ class DeviseTokenAuth::PasswordsControllerTest < ActionController::TestCase
               @uid            = @qs['uid']
             end
 
-            test 'respones should have success redirect status' do
+            test 'response should have success redirect status' do
               assert_equal 302, response.status
             end
 
@@ -208,6 +208,108 @@ class DeviseTokenAuth::PasswordsControllerTest < ActionController::TestCase
             assert_equal 404, response.status
           end
         end
+
+        describe 'Cheking reset_password_token' do
+          before do
+            post :create, params: {
+              email:        @resource.email,
+              redirect_url: @redirect_url
+            }
+
+            @mail = ActionMailer::Base.deliveries.last
+            @mail_redirect_url = CGI.unescape(@mail.body.match(/redirect_url=([^&]*)&/)[1])
+            @mail_reset_token  = @mail.body.match(/reset_password_token=(.*)\"/)[1]
+
+            @resource.reload
+          end
+
+          describe 'reset_password_token is valid' do
+
+            test 'mail_reset_token should be the same as reset_password_token' do
+              assert_equal Devise.token_generator.digest(self, :reset_password_token, @mail_reset_token), @resource.reset_password_token
+            end
+
+            test 'reset_password_token should be rewritten by origin mail_reset_token' do
+              get :edit, params: {
+                reset_password_token: @mail_reset_token,
+                redirect_url: @mail_redirect_url
+              }
+              @resource.reload
+
+              assert_equal @mail_reset_token, @resource.reset_password_token
+            end
+
+            test 'response should return success status' do
+              get :edit, params: {
+                reset_password_token: @mail_reset_token,
+                redirect_url: @mail_redirect_url
+              }
+
+              assert_equal 302, response.status
+            end
+
+            test 'reset_password_token should be valid only one first time' do
+              get :edit, params: {
+                reset_password_token: @mail_reset_token,
+                redirect_url: @mail_redirect_url
+              }
+
+              @resource.reload
+              assert_equal @mail_reset_token, @resource.reset_password_token
+
+              assert_raises(ActionController::RoutingError) {
+                get :edit, params: {
+                  reset_password_token: @mail_reset_token,
+                  redirect_url: @mail_redirect_url
+                }
+              }
+
+              @resource.reload
+              assert_equal @mail_reset_token, @resource.reset_password_token
+            end
+
+            test 'reset_password_sent_at should be valid' do
+              assert_equal @resource.reset_password_period_valid?, true
+
+              get :edit, params: {
+                reset_password_token: @mail_reset_token,
+                redirect_url: @mail_redirect_url
+              }
+
+              @resource.reload
+              assert_equal @mail_reset_token, @resource.reset_password_token
+            end
+
+            test 'reset_password_sent_at should be expired' do
+              assert_equal @resource.reset_password_period_valid?, true
+
+              @resource.update reset_password_sent_at: @resource.reset_password_sent_at - Devise.reset_password_within - 1.seconds
+              assert_equal @resource.reset_password_period_valid?, false
+
+              assert_raises(ActionController::RoutingError) {
+                get :edit, params: {
+                  reset_password_token: @mail_reset_token,
+                  redirect_url: @mail_redirect_url
+                }
+              }
+            end
+          end
+
+          describe 'reset_password_token is not valid' do
+            test 'response should return error status' do
+              @resource.update reset_password_token: 'koskoskoskos'
+
+              assert_not_equal Devise.token_generator.digest(self, :reset_password_token, @mail_reset_token), @resource.reset_password_token
+
+              assert_raises(ActionController::RoutingError) {
+                get :edit, params: {
+                  reset_password_token: @mail_reset_token,
+                  redirect_url: @mail_redirect_url
+                }
+              }
+            end
+          end
+        end
       end
 
       describe 'Using default_password_reset_url' do

data/test/controllers/devise_token_auth/sessions_controller_test.rb

@@ -239,6 +239,29 @@ class DeviseTokenAuth::SessionsControllerTest < ActionController::TestCase
           assert_equal 401, response.status
         end
       end
+
+      describe 'stripping whitespace on email' do
+        before do
+          @resource_class = User
+          @request_params = {
+            # adding whitespace before and after email
+            email: " #{@existing_user.email}  ",
+            password: 'secret123'
+          }
+        end
+
+        test 'request should succeed if configured' do
+          @resource_class.strip_whitespace_keys = [:email]
+          post :create, params: @request_params
+          assert_equal 200, response.status
+        end
+
+        test 'request should fail if not configured' do
+          @resource_class.strip_whitespace_keys = []
+          post :create, params: @request_params
+          assert_equal 401, response.status
+        end
+      end
     end
 
     describe 'Unconfirmed user' do
@@ -427,7 +450,7 @@ class DeviseTokenAuth::SessionsControllerTest < ActionController::TestCase
 
         test 'response should contain errors' do
           assert @data['errors']
-          assert_equal @data['errors'], [I18n.t('devise_token_auth.sessions.not_confirmed', email: @locked_user.email)]
+          assert_equal @data['errors'], [I18n.t('devise.mailer.unlock_instructions.account_lock_msg')]
         end
       end