root/trunk/grails-app/controllers/RestController.groovy @ 1781

Revision 1781, 20.6 KB (checked in by robert@…, 3 years ago)

Added support in RestController? for distinction between administrators and non-administrators

  • Property svn:keywords set to Rev Author Date
RevLine 
[480]1/**
[904]2 * RestController
[480]3 *
[515]4 * This controler provides a REST service.
5 * The names of the RESET resources are the same as the names of this
6 * controller's actions. E.g., the resources called getStudies simply
7 * corresponds to the action getStudies. Some of the resources are parameterized.
8 * The parameters are passed as parameters in the url and are available in the
9 * params respecting Grails' conventions. In this file, we adher to the javadoc 
10 * convention for describing parameters ("@param"), but actually we mean
11 * key-value pairs in the params object of each Grails action we comment on.
[480]12 *
[649]13 * @author      Jahn-Takeshi Saito
[515]14 * @since       20100601
[480]15 *
16 */
17
[515]18import dbnp.studycapturing.Study
19import dbnp.studycapturing.Assay
[976]20import dbnp.authentication.SecUser
[515]21import grails.converters.*
[831]22import nl.metabolomicscentre.dsp.http.BasicAuthentication
[1010]23import dbnp.rest.common.CommunicationManager
[1036]24import org.springframework.security.core.context.SecurityContextHolder;
[480]25
26class RestController {
27
[649]28       /**************************************************/
29      /** Rest resources for Simple Assay Module (SAM) **/
30     /**************************************************/
[480]31
[1588]32        def authenticationService
[1593]33        def beforeInterceptor = [action:this.&auth,except:["isUser"]]
[829]34        def credentials
[1094]35        def requestUser
[649]36
[831]37        /**
38         * Authorization closure, which is run before executing any of the REST resource actions
[983]39         * It fetches a consumer/token combination from the url and checks whether
40         * that is a correct and known combination
41         *
42         * @param       consumer        consumer name of the calling module
43         * @param       token           token for the authenticated user (e.g. session_id)
[1094]44         * @return  true if the user is remotely logged in, false otherwise
[831]45         */
[835]46        private def auth() {
[1588]47                if( !authenticationService.isRemotelyLoggedIn( params.consumer, params.token ) ) {
[983]48                        response.sendError(403)
49                        return false
50                } else {
[831]51                        return true
52                }
[829]53        }
54
[835]55        /**
[983]56         * REST resource for data modules.
57         * Consumer and token should be supplied via URL parameters.
58         * Determines whether the given user/password combination is a valid GSCF account.
59         *
60         * @param       consumer        consumer name of the calling module
61         * @param       token           token for the authenticated user (e.g. session_id)
62         * @return bool {"authenticated":true} when user/password is a valid GSCF account, {"authenticated":false} otherwise.
63         */
64        def isUser = {
[1588]65                boolean isUser = authenticationService.isRemotelyLoggedIn( params.consumer, params.token )
[843]66                def reply = ['authenticated':isUser]
[1655]67
68                // set output header to json
69                response.contentType = 'application/json'
70
[843]71                render reply as JSON
[835]72        }
[829]73
[996]74        /**
75         * REST resource for data modules.
76         * Consumer and token should be supplied via URL parameters.
77         * Provides the details of the user that has logged in
78         *
79         * @param       consumer        consumer name of the calling module
80         * @param       token           token for the authenticated user (e.g. session_id)
81         * @return bool {"username": "...", "id": ... } when user/password is logged in.
82         */
83        def getUser = {
[1588]84                SecUser user = authenticationService.getRemotelyLoggedInUser( params.consumer, params.token )
[1781]85                def reply = [username: user.username, id: user.id, isAdministrator: user.hasAdminRights() ]
[1655]86
87                // set output header to json
88                response.contentType = 'application/json'
89
[996]90                render reply as JSON
91        }
[945]92
[515]93        /**
[983]94         * REST resource for data modules.
95         * Consumer and token should be supplied via URL parameters.
96         * Provide a list of all studies owned by the supplied user.
97         *
[1011]98         * @param       studyToken  optional parameter. If no studyToken is given, all studies available to user are returned.
99         *                      Otherwise, the studies for which the studyTokens are given are be returned.
[983]100         * @param       consumer        consumer name of the calling module
101         * @param       token           token for the authenticated user (e.g. session_id)
[1011]102         * @return  JSON object list containing 'studyToken', and 'name' (title) for each study
103         *
[1328]104         * If one study is requested, a 404 error might occur if the study doesn't exist, and a 401 error if the user is not
105         * authorized to access this study. If multiple studies are requrested, non-existing studies or studies for which the
106         * user is not authorized are not returned in the list (so the list might be empty).
[1011]107         *
108         * Example 1. REST call without studyToken.
109         *
110         * Call: http://localhost:8080/gscf/rest/getStudies/query
111         *
112         * Result: [{"title":"NuGO PPS3 mouse study leptin module","studyToken":"PPS3_leptin_module",
113         *                      "startDate":"2008-01-01T23:00:00Z","published":false,"Description":"C57Bl/6 mice were fed a high fat (45 en%)
114         *                      or low fat (10 en%) diet after a four week run-in on low fat diet.","Objectives":null,"Consortium":null,
115         *                      "Cohort name":null,"Lab id":null,"Institute":null,"Study protocol":null},
116         *                      {"title":"NuGO PPS human study","studyToken":"PPSH","startDate":"2008-01-13T23:00:00Z","published":false,
117         *                      "Description":"Human study performed at RRI; centres involved: RRI, IFR, TUM, Maastricht U.","Objectives":null,
118         *                      "Consortium":null,"Cohort name":null,"Lab id":null,"Institute":null,"Study protocol":null}]
119         *
120         *
121         * Example 2. REST call with one studyToken.
122         *
123         * Call: http://localhost:8080/gscf/rest/getStudies/query?studyToken=PPSH
124         *
125         * Result: [{"title":"NuGO PPS human study","studyToken":"PPSH","startDate":"2008-01-13T23:00:00Z",
126         *              "published":false,"Description":"Human study performed at RRI; centres involved: RRI, IFR, TUM, Maastricht U.",
127         *              "Objectives":null,"Consortium":null,"Cohort name":null,"Lab id":null,"Institute":null,"Study protocol":null}]
128         *
129         *
130         *
131         * Example 2. REST call with two studyTokens.
132         *
133         * http://localhost:8080/gscf/rest/getStudies/query?studyToken=PPSH&studyToken=PPS3_leptin_module
134         *
135         * Result: same as result of Example 1.
[983]136         */
[515]137        def getStudies = {
[1011]138
139                List returnStudies = []
[600]140                List studies = []
[1011]141
142                if( !params.studyToken ) {
143                        studies = Study.findAll()
[600]144                }
[1011]145                else if( params.studyToken instanceof String ) {
[1440]146                        def study = Study.findByStudyUUID( params.studyToken )
[1328]147                        if( study ) {
[1588]148                                if( !study.canRead(authenticationService.getRemotelyLoggedInUser( params.consumer, params.token )) ) {
[1328]149                                        response.sendError(401)
150                                        return false
151                                }
152                               
153                                studies.push study
154                        } else {
155                                response.sendError(404)
156                                return false
157                        }
158       
[1011]159                }
160                else {
161                        params.studyToken.each{ studyToken ->
[1440]162                                def study = Study.findByStudyUUID( studyToken );
[1328]163                                if( study )
164                                        studies.push study
[1011]165                        }
166                }
[1328]167               
[1011]168
169                studies.each { study ->
170                        if(study) {
[1588]171                                def user = authenticationService.getRemotelyLoggedInUser( params.consumer, params.token )
[1011]172                                // Check whether the person is allowed to read the data of this study
[1588]173                                if( study.canRead(authenticationService.getRemotelyLoggedInUser( params.consumer, params.token ))) {
[1100]174
[1440]175                    def items = [studyToken:study.giveUUID()]
[1100]176                    study.giveFields().each { field ->
177                        def name = field.name
178                        def value = study.getFieldValue( name )
179                        items[name] = value
180                    }
[1357]181                                       
182                                        // Add study version number
183                                        items['version'] = study.version;
184                                       
[1100]185                    returnStudies.push items
186                }
[1011]187                        }
188                }
189
[1655]190                // set output header to json
191                response.contentType = 'application/json'
192
193                render returnStudies as JSON
[515]194        }
[480]195
[1357]196        /**
197         * REST resource for data modules.
198         * Consumer and token should be supplied via URL parameters.
199         * Provides the version number of the specified study
200         *
201         * @param       studyToken  optional parameter. If no studyToken is given, a 400 error is given
202         * @param       consumer        consumer name of the calling module
203         * @param       token           token for the authenticated user (e.g. session_id)
204         * @return  JSON object list containing 'studyToken', and 'version'
205         *
206         * A 404 error might occur if the study doesn't exist, and a 401 error if the user is not
207         * authorized to access this study.
208         *
209         * Example. REST call with one studyToken.
210         *
211         * Call: http://localhost:8080/gscf/rest/getStudyVersion?studyToken=PPSH
212         *
213         * Result: {"studyToken":"PPSH","version":31}
214         */
215        def getStudyVersion = {
[515]216
[1357]217                def versionInfo = [:];
218                def study
219               
220                if( !params.studyToken || !(params.studyToken instanceof String)) {
221                        response.sendError(400)
222                        return false
223                } else {
[1440]224                        study = Study.findByStudyUUID( params.studyToken )
[1357]225                        if( study ) {
[1588]226                                if( !study.canRead(authenticationService.getRemotelyLoggedInUser( params.consumer, params.token )) ) {
[1357]227                                        response.sendError(401)
228                                        return false
229                                }
230                        } else {
231                                response.sendError(404)
232                                return false
233                        }
234                }
235
236                versionInfo[ 'studyToken' ] = params.studyToken;
237                versionInfo[ 'version' ] = study.version;
238
[1655]239                // set output header to json
240                response.contentType = 'application/json'
241
[1357]242                render versionInfo as JSON
243        }
244
[515]245        /**
[983]246         * REST resource for data modules.
247         * Consumer and token should be supplied via URL parameters.
248         * Provide a list of all subjects belonging to a study.
249         *
[1328]250         * If the user is not allowed to read the study contents, a 401 error is given. If the study doesn't exist, a 404 error is given
[983]251         *
252         * @param       studyToken      String The external study id (code) of the target GSCF Study object
253         * @param       consumer        consumer name of the calling module
254         * @param       token           token for the authenticated user (e.g. session_id)
255         * @return JSON object list of subject names
256         */
[523]257        def getSubjects = {
[600]258                List subjects = []
[904]259                if( params.studyToken ) {
[1440]260                        def study = Study.findByStudyUUID( params.studyToken)
[983]261
262                        if(study) {
263                                // Check whether the person is allowed to read the data of this study
[1588]264                                if( !study.canRead(authenticationService.getRemotelyLoggedInUser( params.consumer, params.token ))) {
[983]265                                        response.sendError(401)
266                                        return false
267                                }
268
269                                study.subjects.each { subjects.push it.name }
[1328]270                        } else {
271                                response.sendError(404)
272                                return false
[983]273                        }
[600]274                }
[1655]275
276                // set output header to json
277                response.contentType = 'application/json'
278
279                render subjects as JSON
[523]280        }
281
282
283        /**
[983]284         * REST resource for data modules.
285         * Consumer and token should be supplied via URL parameters.
286         * Provide a list of all assays for a given study.
287         *
[1328]288         * If the user is not allowed to read the study contents, a 401 error is given. If the study doesn't exist, a 404 error is given
[983]289         *
290         * @param       studyToken      String The external study id (code) of the target GSCF Study object
291         * @param       consumer        consumer name of the calling module
292         * @return list of assays in the study as JSON object list, filtered to only contain assays
293         *         for the specified module, with 'assayToken' and 'name' for each assay
[1010]294         *
295         *
296         * Example 1. REST call without assayToken
297         *            http://localhost:8080/gscf/rest/getAssays/aas?studyToken=PPSH
[1014]298         *                              &consumer=http://localhost:8182/sam
[1010]299         *
300         * Result: [{"name":"Glucose assay after",
301         *                      "module":{"class":"dbnp.studycapturing.AssayModule","id":1,"name":"SAM module for clinical data",
302         *                              "platform":"clinical measurements","url":"http://localhost:8182/sam"},
303         *                      "externalAssayID":"PPSH-Glu-A", "Description":null,"parentStudyToken":"PPSH"},
304         *                      {"name":"Glucose assay before",
305         *                              "module":{"class":"dbnp.studycapturing.AssayModule","id":1,"name":"SAM module for clinical data",
306         *                              "platform":"clinical measurements","url":"http://localhost:8182/sam"},
307         *                              "externalAssayID":"PPSH-Glu-B","Description":null,"parentStudyToken":"PPSH"}]
308         *
309         *
310         * Example 2. REST call with one assayToken
311         *                        http://localhost:8080/gscf/rest/getAssays/queryOneTokenz?studyToken=PPSH
[1014]312         *                              &consumer=http://localhost:8182/sam&assayToken=PPSH-Glu-A
[1010]313         *
314         * Result: [{"name":"Glucose assay after","module":{"class":"dbnp.studycapturing.AssayModule","id":1,
315         *                      "name":"SAM module for clinical data","platform":"clinical measurements","url":"http://localhost:8182/sam"},
316         *                      "externalAssayID":"PPSH-Glu-A","Description":null,"parentStudyToken":"PPSH"}]
317         *
318         *
319         * Example 3. REST call with two assayTokens.
320         *
321         * Result: Same as result in Example 1.
[983]322         */
[515]323        def getAssays = {
[1655]324                // set output header to json
325                response.contentType = 'application/json'
[1010]326
327                List returnList = []    // return list of hashes each containing fields and values belonging to an assay
328
329                // Check if required parameters are present
[1014]330                def validCall = CommunicationManager.hasValidParams( params, "consumer", "studyToken" )
[1010]331                if( !validCall ) {
[1655]332                        render "Error. Wrong or insufficient parameters." as JSON
[1010]333                        return
334                }
335
[904]336                if( params.studyToken ) {
[1010]337
[1440]338                        def study = Study.findByStudyUUID(params.studyToken)
[983]339
340                        if(study) {
341                                // Check whether the person is allowed to read the data of this study
[1588]342                                if( !study.canRead(authenticationService.getRemotelyLoggedInUser( params.consumer, params.token ))) {
[983]343                                        response.sendError(401)
344                                        return false
[935]345                                }
[983]346
[1010]347                                def assays = []
348                                if(params.assayToken==null) {
349                                        assays = study.assays
350                                }
351                                else if( params.assayToken instanceof String ) {
[1440]352                                        def assay = study.assays.find{ it.giveUUID() == params.assayToken }
[1010]353                                        if( assay ) {
354                                                 assays.push assay
355                                        }
356                                }
357                                else {                                                                                                  // there are multiple assayTokens instances
358                                        params.assayToken.each { assayToken ->
[1440]359                                                def assay = study.assays.find{ it.giveUUID() == assayToken }
[1010]360                                                if(assay) {
361                                                        assays.push assay
362                                                }
363                                        }
364                                }
365
366                                assays.each{ assay ->
[1579]367                                        if (assay.module?.url && assay.module.url.equals(params.moduleURL)) {
[1010]368                                                if(assay) {
[1440]369                                                        def map = [assayToken : assay.giveUUID()]
[1010]370                                                        assay.giveFields().each { field ->
371                                                                def name = field.name
372                                                                def value = assay.getFieldValue( name )
373                                                                map[name] = value
374                                                        }
[1440]375                                                        map["parentStudyToken"] = assay.parent.giveUUID()
[1010]376                                                        returnList.push( map )
377                                                }
[983]378                                        }
379                                }
[1328]380                } else {
381                                response.sendError(404)
382                                return false
383                        }
[1010]384
[515]385                }
[1655]386                render returnList as JSON
[515]387        }
388
389        /**
[983]390         * REST resource for data modules.
391         * Provide all samples of a given Assay. The result is an enriched list with additional information for each sample.
392         *
[1328]393         * If the user is not allowed to read the study contents, a 401 error is given. If the assay doesn't exist, a 404 error is given
394         *
[983]395         * @param       assayToken      String (assayToken of some Assay in GSCF)
[1001]396         * @param       sampleToken Optional parameter. One or more sampleTokens to specify what sample to give exectly.
397         *                      If not given, return all samples for specified assay.
[983]398         * @param       consumer        consumer name of the calling module
399         * @param       token           token for the authenticated user (e.g. session_id)
400         * @return As a JSON object list, for each sample in that assay:
401         * @return 'name' (Sample name, which is unique)
402         * @return 'material' (Sample material)
403         * @return 'subject' (The name of the subject from which the sample was taken)
404         * @return 'event' (the name of the template of the SamplingEvent describing the sampling)
405         * @return 'startTime' (the time the sample was taken relative to the start of the study, as a string)
[1094]406         * @return additional template fields are returned
[1001]407         *
408         *
409         *
410         * Example 1: no sampleTokens given.
411         * Query:
412         * http://localhost:8080/gscf/rest/getSamples/query?assayToken=PPSH-Glu-A
413         *
414         * Result:
415         * [{"sampleToken":"5_A","material":"blood plasma","subject":"5","event":"Blood extraction","startTime":"4 days, 6 hours"},
416         * {"sampleToken":"6_A","material":"blood plasma","subject":"6","event":"Blood extraction","startTime":"4 days, 6 hours"},
417         * {"sampleToken":"10_A","material":"blood plasma","subject":"10","event":"Blood extraction","startTime":"4 days, 6 hours"},
418         * {"sampleToken":"2_A","material":"blood plasma","subject":"2","event":"Blood extraction","startTime":"4 days, 6 hours"},
419         * {"sampleToken":"11_A","material":"blood plasma","subject":"11","event":"Blood extraction","startTime":"4 days, 6 hours"},
420         * {"sampleToken":"1_A","material":"blood plasma","subject":"1","event":"Blood extraction","startTime":"4 days, 6 hours"},
421         * {"sampleToken":"9_A","material":"blood plasma","subject":"9","event":"Blood extraction","startTime":"4 days, 6 hours"},
422         * {"sampleToken":"4_A","material":"blood plasma","subject":"4","event":"Blood extraction","startTime":"4 days, 6 hours"},
423         * {"sampleToken":"8_A","material":"blood plasma","subject":"8","event":"Blood extraction","startTime":"4 days, 6 hours"},
424         * {"sampleToken":"7_A","material":"blood plasma","subject":"7","event":"Blood extraction","startTime":"4 days, 6 hours"},
425         * {"sampleToken":"3_A","material":"blood plasma","subject":"3","event":"Blood extraction","startTime":"4 days, 6 hours"}]
426         *
427         *
428         *
429         * Example 2: one sampleToken given.
430         * Query:
431         * http://localhost:8080/gscf/rest/getSamples/query?assayToken=PPSH-Glu-A&sampleToken=5_A
432         *
433         * Result:
434         * [{"sampleToken":"5_A","material":"blood plasma","subject":"5","event":"Blood extraction","startTime":"4 days, 6 hours"}]
435         *
436         *
437         *
438         * Example 3: two sampleTokens given.
439         * Query:
[1512]440         * http://localhost:8080/gscf/rest/getSamples/query?assayToken=PPSH-Glu-A&sampleToken=5_A&sampleToken=6_A
[1001]441         *
442         * Result:
443         * [{"sampleToken":"5_A","material":"blood plasma","subject":"5","event":"Blood extraction","startTime":"4 days, 6 hours"},
444         *  {"sampleToken":"6_A","material":"blood plasma","subject":"6","event":"Blood extraction","startTime":"4 days, 6 hours"}]
[1512]445         *
446         *
447         * Example 4: no assaytoken given
448         * Query:
449         * http://localhost:8080/gscf/rest/getSamples/query?sampleToken=5_A&sampleToken=6_A
450         *
451         * Result:
452         * [{"sampleToken":"5_A","material":"blood plasma","subject":"5","event":"Blood extraction","startTime":"4 days, 6 hours"},
453         *  {"sampleToken":"6_A","material":"blood plasma","subject":"6","event":"Blood extraction","startTime":"4 days, 6 hours"}]
454         *
[983]455         */
[515]456        def getSamples = {
[600]457                def items = []
[1512]458                def samples
[904]459                if( params.assayToken ) {
[1440]460                        def assay = Assay.findByAssayUUID( params.assayToken );
[1101]461
[945]462                        if( assay )  {
[1328]463                                // Check whether the person is allowed to read the data of this study
[1588]464                                if( !assay.parent.canRead(authenticationService.getRemotelyLoggedInUser( params.consumer, params.token ))) {
[1328]465                                        response.sendError(401)
466                                        return false
467                                }
468                               
[1512]469                                samples = assay.getSamples() // on all samples
470                        } else {
471                                // Assay not found
472                                response.sendError(404)
473                                return false
474                        }
475                } else {
476                        // Find all samples from studies the user can read
[1588]477                        def studies = Study.list().findAll { it.canRead( authenticationService.getRemotelyLoggedInUser( params.consumer, params.token ) ) };
[1512]478                        samples = studies*.getSamples().flatten();
479                }
480               
481                // Check whether only a subset of samples should be returned
482                if( params.sampleToken ) {
483                        def sampleTokens = params.list( "sampleToken" );
484                        samples = samples.findAll { sampleTokens.contains( it.giveUUID() ) }
485                }
[1094]486
[1512]487                samples.each { sample ->
[1094]488
[1512]489                        def item = [
490                                'sampleToken' : sample.giveUUID(),
491                                'material'        : sample.material?.name,
492                                'subject'         : sample.parentSubject?.name,
493                                'event'           : sample.parentEvent?.template?.name,
494                                'startTime'       : sample.parentEvent?.getStartTimeString()
495                        ]
[1094]496
[1512]497                        sample.giveFields().each { field ->
498                                def name = field.name
499                                def value = sample.getFieldValue( name )
500                                if(name!='material')
501                                {
502                                        item[name]=value
503                                }
504                        }
[1094]505
[1512]506                        if(sample.parentEvent) {
507                                def parentEvent = sample.parentEvent
508                                def eventHash = [:]
509                                parentEvent.giveFields().each { field ->
510                                        def name = field.name
511                                        if( name !='sampleTemplate' && name != 'fields') {
512                                                def value = parentEvent.getFieldValue( name )
513                                                eventHash[name]=value
[1001]514                                        }
[1512]515                                }
516                                item['eventObject'] = eventHash
517                        }
[1095]518
[1512]519                        if(sample.parentSubject) {
520                                def parentSubject = sample.parentSubject
521                                def subject = [:]
522                                parentSubject.giveFields().each { field ->
523                                        def name = field.name
524                                        if( name!='fields') {
525                                                def value = parentSubject.getFieldValue( name )
526                                                subject[name]=value
[1095]527                                        }
[1512]528                                }
529                                item['subjectObject'] = subject
530                        }
[1095]531
[1512]532                        items.push item
533                }
[1095]534
[1655]535                // set output header to json
536                response.contentType = 'application/json'
537
[600]538                render items as JSON
[515]539        }
540
[901]541        /**
[983]542         * Returns the authorization level the user has for a given study.
543         *
544         * If no studyToken is given, a 400 (Bad Request) error is given.
545         * If the given study doesn't exist, a 404 (Not found) error is given.
546         *
547         * @param       consumer        consumer name of the calling module
548         * @param       token           token for the authenticated user (e.g. session_id)
549         * @return      JSON Object
550         * @return  { isOwner: true/false, 'canRead': true/false, 'canWrite': true/false }
551         */
[908]552        def getAuthorizationLevel = {
[935]553                if( params.studyToken ) {
[1440]554                        def study = Study.findByStudyUUID(params.studyToken)
[983]555
556                        if( !study ) {
557                                response.sendError(404)
558                                return false
559                        }
560
[1588]561                        def user = authenticationService.getRemotelyLoggedInUser( params.consumer, params.token );
[1482]562                        def auth = ['isOwner': study.isOwner(user), 'canRead': study.canRead(user), 'canWrite': study.canWrite(user)];
563                        log.trace "Authorization for study " + study.title + " and user " + user.username + ": " + auth
[1655]564
565                        // set output header to json
566                        response.contentType = 'application/json'
567
[1482]568                        render auth as JSON;
[983]569                } else {
570                        response.sendError(400)
571                        return false
[935]572                }
[940]573    }
[1655]574}
Note: See TracBrowser for help on using the browser.