XSS vulnerability when remote-subscribing

[quix0rs-gnu-social.git] / actions / apioauthaccesstoken.php
diff --git a/actions/apioauthaccesstoken.php b/actions/apioauthaccesstoken.php

index db82f656add3f5d6f4c49c2b047e1d0d3d26f8fb..a1a70a9b9e2be36aa949c163b1a142cca48863a9 100644 (file)
--- a/actions/apioauthaccesstoken.php
+++ b/actions/apioauthaccesstoken.php
@@ -2,7 +2,8 @@
  /**
   * StatusNet, the distributed open-source microblogging tool
   *
- * Exchange an authorized OAuth request token for an access token
+ * Action for getting OAuth token credentials (exchange an authorized
+ * request token for an access token)
   *
   * PHP version 5
   *
@@ -27,14 +28,11 @@
   * @link      http://status.net/
   */
  
-if (!defined('STATUSNET')) {
-    exit(1);
-}
-
-require_once INSTALLDIR . '/lib/api.php';
+if (!defined('GNUSOCIAL')) { exit(1); }
  
  /**
- * Exchange an authorized OAuth request token for an access token
+ * Action for getting OAuth token credentials (exchange an authorized
+ * request token for an access token)
   *
   * @category API
   * @package  StatusNet
@@ -42,8 +40,83 @@ require_once INSTALLDIR . '/lib/api.php';
   * @license  http://www.fsf.org/licensing/licenses/agpl-3.0.html GNU Affero General Public License version 3.0
   * @link     http://status.net/
   */
-
-class ApiOauthAccessTokenAction extends ApiAction
+class ApiOAuthAccessTokenAction extends ApiOAuthAction
  {
+    protected $reqToken = null;
+    protected $verifier = null;
+
+    /**
+     * Class handler.
+     *
+     * @param array $args array of arguments
+     *
+     * @return void
+     */
+    function handle($args)
+    {
+        parent::handle($args);
+
+        $datastore   = new ApiGNUsocialOAuthDataStore();
+        $server      = new OAuthServer($datastore);
+        $hmac_method = new OAuthSignatureMethod_HMAC_SHA1();
+
+        $server->add_signature_method($hmac_method);
+
+        $atok = $app = null;
+
+        // XXX: Insist that oauth_token and oauth_verifier be populated?
+        // Spec doesn't say they MUST be.
+
+        try {
+            $req  = OAuthRequest::from_request();
+
+            $this->reqToken = $req->get_parameter('oauth_token');
+            $this->verifier = $req->get_parameter('oauth_verifier');
+
+            $app  = $datastore->getAppByRequestToken($this->reqToken);
+            $atok = $server->fetch_access_token($req);
+        } catch (Exception $e) {
+            common_log(LOG_WARNING, 'API OAuthException - ' . $e->getMessage());
+            common_debug(var_export($req, true));
+            $code = $e->getCode();
+            $this->clientError($e->getMessage(), empty($code) ? 401 : $code, 'text');
+        }
+
+        if (empty($atok)) {
+            // Token exchange failed -- log it
+
+            $msg = sprintf(
+                'API OAuth - Failure exchanging OAuth request token for access token, '
+                    . 'request token = %s, verifier = %s',
+                $this->reqToken,
+                $this->verifier
+            );
+
+            common_log(LOG_WARNING, $msg);
+            // TRANS: Client error given from the OAuth API when the request token or verifier is invalid.
+            $this->clientError(_('Invalid request token or verifier.'), 400, 'text');
+        } else {
+            common_log(
+                LOG_INFO,
+                sprintf(
+                    "Issued access token '%s' for application %d (%s).",
+                    $atok->key,
+                    $app->id,
+                    $app->name
+                )
+            );
+            $this->showAccessToken($atok);
+        }
+    }
  
+    /*
+     * Display OAuth token credentials
+     *
+     * @param OAuthToken token the access token
+     */
+    function showAccessToken($token)
+    {
+        header('Content-Type: application/x-www-form-urlencoded');
+        print $token;
+    }
  }