projects / anni / blob
? search:


c1a690e28a59009292587d76176a80cd73715fb4
[anni] / lib / pleroma / web / router.ex
1 # Pleroma: A lightweight social networking server
2 # Copyright © 2017-2022 Pleroma Authors <https://pleroma.social/>
3 # SPDX-License-Identifier: AGPL-3.0-only
4
5 defmodule Pleroma.Web.Router do
6   use Pleroma.Web, :router
7   import Phoenix.LiveDashboard.Router
8
9   pipeline :accepts_html do
10     plug(:accepts, ["html"])
11   end
12
13   pipeline :accepts_html_xml do
14     plug(:accepts, ["html", "xml", "rss", "atom"])
15   end
16
17   pipeline :accepts_html_json do
18     plug(:accepts, ["html", "activity+json", "json"])
19   end
20
21   pipeline :accepts_html_xml_json do
22     plug(:accepts, ["html", "xml", "rss", "atom", "activity+json", "json"])
23   end
24
25   pipeline :accepts_xml_rss_atom do
26     plug(:accepts, ["xml", "rss", "atom"])
27   end
28
29   pipeline :browser do
30     plug(:accepts, ["html"])
31     plug(:fetch_session)
32   end
33
34   pipeline :oauth do
35     plug(:fetch_session)
36     plug(Pleroma.Web.Plugs.OAuthPlug)
37     plug(Pleroma.Web.Plugs.UserEnabledPlug)
38     plug(Pleroma.Web.Plugs.EnsureUserTokenAssignsPlug)
39   end
40
41   # Note: expects _user_ authentication (user-unbound app-bound tokens don't qualify)
42   pipeline :expect_user_authentication do
43     plug(Pleroma.Web.Plugs.ExpectAuthenticatedCheckPlug)
44   end
45
46   # Note: expects public instance or _user_ authentication (user-unbound tokens don't qualify)
47   pipeline :expect_public_instance_or_user_authentication do
48     plug(Pleroma.Web.Plugs.ExpectPublicOrAuthenticatedCheckPlug)
49   end
50
51   pipeline :authenticate do
52     plug(Pleroma.Web.Plugs.OAuthPlug)
53     plug(Pleroma.Web.Plugs.BasicAuthDecoderPlug)
54     plug(Pleroma.Web.Plugs.UserFetcherPlug)
55     plug(Pleroma.Web.Plugs.AuthenticationPlug)
56   end
57
58   pipeline :after_auth do
59     plug(Pleroma.Web.Plugs.UserEnabledPlug)
60     plug(Pleroma.Web.Plugs.SetUserSessionIdPlug)
61     plug(Pleroma.Web.Plugs.EnsureUserTokenAssignsPlug)
62     plug(Pleroma.Web.Plugs.UserTrackingPlug)
63   end
64
65   pipeline :base_api do
66     plug(:accepts, ["json"])
67     plug(:fetch_session)
68     plug(:authenticate)
69     plug(OpenApiSpex.Plug.PutApiSpec, module: Pleroma.Web.ApiSpec)
70   end
71
72   pipeline :no_auth_or_privacy_expectations_api do
73     plug(:base_api)
74     plug(:after_auth)
75     plug(Pleroma.Web.Plugs.IdempotencyPlug)
76   end
77
78   # Pipeline for app-related endpoints (no user auth checks — app-bound tokens must be supported)
79   pipeline :app_api do
80     plug(:no_auth_or_privacy_expectations_api)
81   end
82
83   pipeline :api do
84     plug(:expect_public_instance_or_user_authentication)
85     plug(:no_auth_or_privacy_expectations_api)
86   end
87
88   pipeline :authenticated_api do
89     plug(:expect_user_authentication)
90     plug(:no_auth_or_privacy_expectations_api)
91     plug(Pleroma.Web.Plugs.EnsureAuthenticatedPlug)
92   end
93
94   pipeline :admin_api do
95     plug(:expect_user_authentication)
96     plug(:base_api)
97     plug(Pleroma.Web.Plugs.AdminSecretAuthenticationPlug)
98     plug(:after_auth)
99     plug(Pleroma.Web.Plugs.EnsureAuthenticatedPlug)
100     plug(Pleroma.Web.Plugs.UserIsStaffPlug)
101     plug(Pleroma.Web.Plugs.IdempotencyPlug)
102   end
103
104   pipeline :require_admin do
105     plug(Pleroma.Web.Plugs.UserIsAdminPlug)
106   end
107
108   pipeline :require_privileged_role_users_delete do
109     plug(:admin_api)
110     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :users_delete)
111   end
112
113   pipeline :require_privileged_role_users_manage_credentials do
114     plug(:admin_api)
115     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :users_manage_credentials)
116   end
117
118   pipeline :require_privileged_role_messages_read do
119     plug(:admin_api)
120     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :messages_read)
121   end
122
123   pipeline :require_privileged_role_users_manage_tags do
124     plug(:admin_api)
125     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :users_manage_tags)
126   end
127
128   pipeline :require_privileged_role_users_manage_activation_state do
129     plug(:admin_api)
130     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :users_manage_activation_state)
131   end
132
133   pipeline :require_privileged_role_users_manage_invites do
134     plug(:admin_api)
135     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :users_manage_invites)
136   end
137
138   pipeline :require_privileged_role_reports_manage_reports do
139     plug(:admin_api)
140     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :reports_manage_reports)
141   end
142
143   pipeline :require_privileged_role_users_read do
144     plug(:admin_api)
145     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :users_read)
146   end
147
148   pipeline :require_privileged_role_messages_delete do
149     plug(:admin_api)
150     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :messages_delete)
151   end
152
153   pipeline :require_privileged_role_emoji_manage_emoji do
154     plug(:admin_api)
155     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :emoji_manage_emoji)
156   end
157
158   pipeline :require_privileged_role_instances_delete do
159     plug(:admin_api)
160     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :instances_delete)
161   end
162
163   pipeline :require_privileged_role_moderation_log_read do
164     plug(:admin_api)
165     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :moderation_log_read)
166   end
167
168   pipeline :require_privileged_role_statistics_read do
169     plug(:admin_api)
170     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :statistics_read)
171   end
172
173   pipeline :require_privileged_role_announcements_manage_announcements do
174     plug(:admin_api)
175     plug(Pleroma.Web.Plugs.EnsurePrivilegedPlug, :announcements_manage_announcements)
176   end
177
178   pipeline :pleroma_html do
179     plug(:browser)
180     plug(:authenticate)
181     plug(Pleroma.Web.Plugs.EnsureUserTokenAssignsPlug)
182   end
183
184   pipeline :well_known do
185     plug(:accepts, ["json", "jrd+json", "xml", "xrd+xml"])
186   end
187
188   pipeline :config do
189     plug(:accepts, ["json", "xml"])
190     plug(OpenApiSpex.Plug.PutApiSpec, module: Pleroma.Web.ApiSpec)
191   end
192
193   pipeline :pleroma_api do
194     plug(:accepts, ["html", "json"])
195     plug(OpenApiSpex.Plug.PutApiSpec, module: Pleroma.Web.ApiSpec)
196   end
197
198   pipeline :mailbox_preview do
199     plug(:accepts, ["html"])
200
201     plug(:put_secure_browser_headers, %{
202       "content-security-policy" =>
203         "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' 'unsafe-eval'"
204     })
205   end
206
207   pipeline :http_signature do
208     plug(Pleroma.Web.Plugs.HTTPSignaturePlug)
209     plug(Pleroma.Web.Plugs.MappedSignatureToIdentityPlug)
210   end
211
212   pipeline :static_fe do
213     plug(Pleroma.Web.Plugs.StaticFEPlug)
214   end
215
216   scope "/api/v1/pleroma", Pleroma.Web.TwitterAPI do
217     pipe_through(:pleroma_api)
218
219     get("/password_reset/:token", PasswordController, :reset, as: :reset_password)
220     post("/password_reset", PasswordController, :do_reset, as: :reset_password)
221     get("/emoji", UtilController, :emoji)
222     get("/captcha", UtilController, :captcha)
223     get("/healthcheck", UtilController, :healthcheck)
224     post("/remote_interaction", UtilController, :remote_interaction)
225   end
226
227   scope "/api/v1/pleroma", Pleroma.Web do
228     pipe_through(:pleroma_api)
229     post("/uploader_callback/:upload_path", UploaderController, :callback)
230   end
231
232   # AdminAPI: only admins can perform these actions
233   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
234     pipe_through([:admin_api, :require_admin])
235
236     get("/users/:nickname/permission_group", AdminAPIController, :right_get)
237     get("/users/:nickname/permission_group/:permission_group", AdminAPIController, :right_get)
238
239     post("/users/:nickname/permission_group/:permission_group", AdminAPIController, :right_add)
240
241     delete(
242       "/users/:nickname/permission_group/:permission_group",
243       AdminAPIController,
244       :right_delete
245     )
246
247     post("/users/permission_group/:permission_group", AdminAPIController, :right_add_multiple)
248
249     delete(
250       "/users/permission_group/:permission_group",
251       AdminAPIController,
252       :right_delete_multiple
253     )
254
255     post("/users/follow", UserController, :follow)
256     post("/users/unfollow", UserController, :unfollow)
257     post("/users", UserController, :create)
258
259     patch("/users/suggest", UserController, :suggest)
260     patch("/users/unsuggest", UserController, :unsuggest)
261
262     get("/relay", RelayController, :index)
263     post("/relay", RelayController, :follow)
264     delete("/relay", RelayController, :unfollow)
265
266     get("/instance_document/:name", InstanceDocumentController, :show)
267     patch("/instance_document/:name", InstanceDocumentController, :update)
268     delete("/instance_document/:name", InstanceDocumentController, :delete)
269
270     get("/config", ConfigController, :show)
271     post("/config", ConfigController, :update)
272     get("/config/descriptions", ConfigController, :descriptions)
273     get("/need_reboot", AdminAPIController, :need_reboot)
274     get("/restart", AdminAPIController, :restart)
275
276     get("/oauth_app", OAuthAppController, :index)
277     post("/oauth_app", OAuthAppController, :create)
278     patch("/oauth_app/:id", OAuthAppController, :update)
279     delete("/oauth_app/:id", OAuthAppController, :delete)
280
281     get("/media_proxy_caches", MediaProxyCacheController, :index)
282     post("/media_proxy_caches/delete", MediaProxyCacheController, :delete)
283     post("/media_proxy_caches/purge", MediaProxyCacheController, :purge)
284
285     get("/frontends", FrontendController, :index)
286     post("/frontends/install", FrontendController, :install)
287
288     post("/backups", AdminAPIController, :create_backup)
289   end
290
291   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
292   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
293     pipe_through(:require_privileged_role_announcements_manage_announcements)
294
295     get("/announcements", AnnouncementController, :index)
296     post("/announcements", AnnouncementController, :create)
297     get("/announcements/:id", AnnouncementController, :show)
298     patch("/announcements/:id", AnnouncementController, :change)
299     delete("/announcements/:id", AnnouncementController, :delete)
300   end
301
302   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
303   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
304     pipe_through(:require_privileged_role_users_delete)
305
306     delete("/users", UserController, :delete)
307   end
308
309   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
310   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
311     pipe_through(:require_privileged_role_users_manage_credentials)
312
313     get("/users/:nickname/password_reset", AdminAPIController, :get_password_reset)
314     get("/users/:nickname/credentials", AdminAPIController, :show_user_credentials)
315     patch("/users/:nickname/credentials", AdminAPIController, :update_user_credentials)
316     put("/users/disable_mfa", AdminAPIController, :disable_mfa)
317     patch("/users/force_password_reset", AdminAPIController, :force_password_reset)
318     patch("/users/confirm_email", AdminAPIController, :confirm_email)
319     patch("/users/resend_confirmation_email", AdminAPIController, :resend_confirmation_email)
320   end
321
322   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
323   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
324     pipe_through(:require_privileged_role_messages_read)
325
326     get("/users/:nickname/statuses", AdminAPIController, :list_user_statuses)
327     get("/users/:nickname/chats", AdminAPIController, :list_user_chats)
328
329     get("/statuses", StatusController, :index)
330
331     get("/chats/:id", ChatController, :show)
332     get("/chats/:id/messages", ChatController, :messages)
333
334     get("/instances/:instance/statuses", InstanceController, :list_statuses)
335
336     get("/statuses/:id", StatusController, :show)
337   end
338
339   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
340   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
341     pipe_through(:require_privileged_role_users_manage_tags)
342
343     put("/users/tag", AdminAPIController, :tag_users)
344     delete("/users/tag", AdminAPIController, :untag_users)
345   end
346
347   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
348   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
349     pipe_through(:require_privileged_role_users_manage_activation_state)
350
351     patch("/users/:nickname/toggle_activation", UserController, :toggle_activation)
352     patch("/users/activate", UserController, :activate)
353     patch("/users/deactivate", UserController, :deactivate)
354   end
355
356   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
357   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
358     pipe_through(:require_privileged_role_users_manage_invites)
359
360     patch("/users/approve", UserController, :approve)
361     post("/users/invite_token", InviteController, :create)
362     get("/users/invites", InviteController, :index)
363     post("/users/revoke_invite", InviteController, :revoke)
364     post("/users/email_invite", InviteController, :email)
365   end
366
367   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
368   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
369     pipe_through(:require_privileged_role_reports_manage_reports)
370
371     get("/reports", ReportController, :index)
372     get("/reports/:id", ReportController, :show)
373     patch("/reports", ReportController, :update)
374     post("/reports/:id/notes", ReportController, :notes_create)
375     delete("/reports/:report_id/notes/:id", ReportController, :notes_delete)
376   end
377
378   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
379   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
380     pipe_through(:require_privileged_role_users_read)
381
382     get("/users", UserController, :index)
383     get("/users/:nickname", UserController, :show)
384   end
385
386   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
387   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
388     pipe_through(:require_privileged_role_messages_delete)
389
390     put("/statuses/:id", StatusController, :update)
391     delete("/statuses/:id", StatusController, :delete)
392
393     delete("/chats/:id/messages/:message_id", ChatController, :delete_message)
394   end
395
396   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
397   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
398     pipe_through(:require_privileged_role_emoji_manage_emoji)
399
400     post("/reload_emoji", AdminAPIController, :reload_emoji)
401   end
402
403   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
404   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
405     pipe_through(:require_privileged_role_instances_delete)
406
407     delete("/instances/:instance", InstanceController, :delete)
408   end
409
410   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
411   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
412     pipe_through(:require_privileged_role_moderation_log_read)
413
414     get("/moderation_log", AdminAPIController, :list_log)
415   end
416
417   # AdminAPI: admins and mods (staff) can perform these actions (if privileged by role)
418   scope "/api/v1/pleroma/admin", Pleroma.Web.AdminAPI do
419     pipe_through(:require_privileged_role_statistics_read)
420
421     get("/stats", AdminAPIController, :stats)
422   end
423
424   scope "/api/v1/pleroma/emoji", Pleroma.Web.PleromaAPI do
425     scope "/pack" do
426       pipe_through(:require_privileged_role_emoji_manage_emoji)
427
428       post("/", EmojiPackController, :create)
429       patch("/", EmojiPackController, :update)
430       delete("/", EmojiPackController, :delete)
431     end
432
433     scope "/pack" do
434       pipe_through(:api)
435
436       get("/", EmojiPackController, :show)
437     end
438
439     # Modifying packs
440     scope "/packs" do
441       pipe_through(:require_privileged_role_emoji_manage_emoji)
442
443       get("/import", EmojiPackController, :import_from_filesystem)
444       get("/remote", EmojiPackController, :remote)
445       post("/download", EmojiPackController, :download)
446
447       post("/files", EmojiFileController, :create)
448       patch("/files", EmojiFileController, :update)
449       delete("/files", EmojiFileController, :delete)
450     end
451
452     # Pack info / downloading
453     scope "/packs" do
454       pipe_through(:api)
455
456       get("/", EmojiPackController, :index)
457       get("/archive", EmojiPackController, :archive)
458     end
459   end
460
461   scope "/", Pleroma.Web.TwitterAPI do
462     pipe_through(:pleroma_html)
463
464     post("/main/ostatus", UtilController, :remote_subscribe)
465     get("/main/ostatus", UtilController, :show_subscribe_form)
466     get("/ostatus_subscribe", RemoteFollowController, :follow)
467     post("/ostatus_subscribe", RemoteFollowController, :do_follow)
468   end
469
470   scope "/api/pleroma", Pleroma.Web.TwitterAPI do
471     pipe_through(:authenticated_api)
472
473     post("/change_email", UtilController, :change_email)
474     post("/change_password", UtilController, :change_password)
475     post("/delete_account", UtilController, :delete_account)
476     put("/notification_settings", UtilController, :update_notificaton_settings)
477     post("/disable_account", UtilController, :disable_account)
478     post("/move_account", UtilController, :move_account)
479
480     put("/aliases", UtilController, :add_alias)
481     get("/aliases", UtilController, :list_aliases)
482     delete("/aliases", UtilController, :delete_alias)
483   end
484
485   scope "/api/pleroma", Pleroma.Web.PleromaAPI do
486     pipe_through(:authenticated_api)
487
488     post("/mutes_import", UserImportController, :mutes)
489     post("/blocks_import", UserImportController, :blocks)
490     post("/follow_import", UserImportController, :follow)
491
492     get("/accounts/mfa", TwoFactorAuthenticationController, :settings)
493     get("/accounts/mfa/backup_codes", TwoFactorAuthenticationController, :backup_codes)
494     get("/accounts/mfa/setup/:method", TwoFactorAuthenticationController, :setup)
495     post("/accounts/mfa/confirm/:method", TwoFactorAuthenticationController, :confirm)
496     delete("/accounts/mfa/:method", TwoFactorAuthenticationController, :disable)
497   end
498
499   scope "/oauth", Pleroma.Web.OAuth do
500     # Note: use /api/v1/accounts/verify_credentials for userinfo of signed-in user
501
502     get("/registration_details", OAuthController, :registration_details)
503
504     post("/mfa/verify", MFAController, :verify, as: :mfa_verify)
505     get("/mfa", MFAController, :show)
506
507     scope [] do
508       pipe_through(:oauth)
509
510       get("/authorize", OAuthController, :authorize)
511       post("/authorize", OAuthController, :create_authorization)
512     end
513
514     scope [] do
515       pipe_through(:fetch_session)
516
517       post("/token", OAuthController, :token_exchange)
518       post("/revoke", OAuthController, :token_revoke)
519       post("/mfa/challenge", MFAController, :challenge)
520     end
521
522     scope [] do
523       pipe_through(:browser)
524
525       get("/prepare_request", OAuthController, :prepare_request)
526       get("/:provider", OAuthController, :request)
527       get("/:provider/callback", OAuthController, :callback)
528       post("/register", OAuthController, :register)
529     end
530   end
531
532   scope "/api/v1/pleroma", Pleroma.Web.PleromaAPI do
533     pipe_through(:api)
534
535     get("/apps", AppController, :index)
536     get("/statuses/:id/reactions/:emoji", EmojiReactionController, :index)
537     get("/statuses/:id/reactions", EmojiReactionController, :index)
538   end
539
540   scope "/api/v0/pleroma", Pleroma.Web.PleromaAPI do
541     pipe_through(:authenticated_api)
542     get("/reports", ReportController, :index)
543     get("/reports/:id", ReportController, :show)
544   end
545
546   scope "/api/v1/pleroma", Pleroma.Web.PleromaAPI do
547     scope [] do
548       pipe_through(:authenticated_api)
549
550       post("/chats/by-account-id/:id", ChatController, :create)
551       get("/chats", ChatController, :index)
552       get("/chats/:id", ChatController, :show)
553       get("/chats/:id/messages", ChatController, :messages)
554       post("/chats/:id/messages", ChatController, :post_chat_message)
555       delete("/chats/:id/messages/:message_id", ChatController, :delete_message)
556       post("/chats/:id/read", ChatController, :mark_as_read)
557       post("/chats/:id/messages/:message_id/read", ChatController, :mark_message_as_read)
558
559       get("/conversations/:id/statuses", ConversationController, :statuses)
560       get("/conversations/:id", ConversationController, :show)
561       post("/conversations/read", ConversationController, :mark_as_read)
562       patch("/conversations/:id", ConversationController, :update)
563
564       put("/statuses/:id/reactions/:emoji", EmojiReactionController, :create)
565       delete("/statuses/:id/reactions/:emoji", EmojiReactionController, :delete)
566       post("/notifications/read", NotificationController, :mark_as_read)
567
568       get("/mascot", MascotController, :show)
569       put("/mascot", MascotController, :update)
570
571       post("/scrobble", ScrobbleController, :create)
572
573       get("/backups", BackupController, :index)
574       post("/backups", BackupController, :create)
575     end
576
577     scope [] do
578       pipe_through(:api)
579       get("/accounts/:id/favourites", AccountController, :favourites)
580       get("/accounts/:id/endorsements", AccountController, :endorsements)
581     end
582
583     scope [] do
584       pipe_through(:authenticated_api)
585
586       post("/accounts/:id/subscribe", AccountController, :subscribe)
587       post("/accounts/:id/unsubscribe", AccountController, :unsubscribe)
588
589       get("/birthdays", AccountController, :birthdays)
590     end
591
592     scope [] do
593       pipe_through(:authenticated_api)
594
595       get("/settings/:app", SettingsController, :show)
596       patch("/settings/:app", SettingsController, :update)
597     end
598
599     post("/accounts/confirmation_resend", AccountController, :confirmation_resend)
600   end
601
602   scope "/api/v1/pleroma", Pleroma.Web.PleromaAPI do
603     pipe_through(:api)
604     get("/accounts/:id/scrobbles", ScrobbleController, :index)
605     get("/federation_status", InstancesController, :show)
606   end
607
608   scope "/api/v2/pleroma", Pleroma.Web.PleromaAPI do
609     scope [] do
610       pipe_through(:authenticated_api)
611       get("/chats", ChatController, :index2)
612     end
613   end
614
615   scope "/api/v1", Pleroma.Web.MastodonAPI do
616     pipe_through(:authenticated_api)
617
618     get("/accounts/verify_credentials", AccountController, :verify_credentials)
619     patch("/accounts/update_credentials", AccountController, :update_credentials)
620
621     get("/accounts/relationships", AccountController, :relationships)
622     get("/accounts/:id/lists", AccountController, :lists)
623     get("/accounts/:id/identity_proofs", AccountController, :identity_proofs)
624     get("/endorsements", AccountController, :endorsements)
625     get("/blocks", AccountController, :blocks)
626     get("/mutes", AccountController, :mutes)
627
628     post("/follows", AccountController, :follow_by_uri)
629     post("/accounts/:id/follow", AccountController, :follow)
630     post("/accounts/:id/unfollow", AccountController, :unfollow)
631     post("/accounts/:id/block", AccountController, :block)
632     post("/accounts/:id/unblock", AccountController, :unblock)
633     post("/accounts/:id/mute", AccountController, :mute)
634     post("/accounts/:id/unmute", AccountController, :unmute)
635     post("/accounts/:id/note", AccountController, :note)
636     post("/accounts/:id/pin", AccountController, :endorse)
637     post("/accounts/:id/unpin", AccountController, :unendorse)
638     post("/accounts/:id/remove_from_followers", AccountController, :remove_from_followers)
639
640     get("/conversations", ConversationController, :index)
641     post("/conversations/:id/read", ConversationController, :mark_as_read)
642     delete("/conversations/:id", ConversationController, :delete)
643
644     get("/domain_blocks", DomainBlockController, :index)
645     post("/domain_blocks", DomainBlockController, :create)
646     delete("/domain_blocks", DomainBlockController, :delete)
647
648     get("/filters", FilterController, :index)
649
650     post("/filters", FilterController, :create)
651     get("/filters/:id", FilterController, :show)
652     put("/filters/:id", FilterController, :update)
653     delete("/filters/:id", FilterController, :delete)
654
655     get("/follow_requests", FollowRequestController, :index)
656     post("/follow_requests/:id/authorize", FollowRequestController, :authorize)
657     post("/follow_requests/:id/reject", FollowRequestController, :reject)
658
659     get("/lists", ListController, :index)
660     get("/lists/:id", ListController, :show)
661     get("/lists/:id/accounts", ListController, :list_accounts)
662
663     delete("/lists/:id", ListController, :delete)
664     post("/lists", ListController, :create)
665     put("/lists/:id", ListController, :update)
666     post("/lists/:id/accounts", ListController, :add_to_list)
667     delete("/lists/:id/accounts", ListController, :remove_from_list)
668
669     get("/markers", MarkerController, :index)
670     post("/markers", MarkerController, :upsert)
671
672     post("/media", MediaController, :create)
673     get("/media/:id", MediaController, :show)
674     put("/media/:id", MediaController, :update)
675
676     get("/notifications", NotificationController, :index)
677     get("/notifications/:id", NotificationController, :show)
678
679     post("/notifications/:id/dismiss", NotificationController, :dismiss)
680     post("/notifications/clear", NotificationController, :clear)
681     delete("/notifications/destroy_multiple", NotificationController, :destroy_multiple)
682     # Deprecated: was removed in Mastodon v3, use `/notifications/:id/dismiss` instead
683     post("/notifications/dismiss", NotificationController, :dismiss_via_body)
684
685     post("/polls/:id/votes", PollController, :vote)
686
687     post("/reports", ReportController, :create)
688
689     get("/scheduled_statuses", ScheduledActivityController, :index)
690     get("/scheduled_statuses/:id", ScheduledActivityController, :show)
691
692     put("/scheduled_statuses/:id", ScheduledActivityController, :update)
693     delete("/scheduled_statuses/:id", ScheduledActivityController, :delete)
694
695     # Unlike `GET /api/v1/accounts/:id/favourites`, demands authentication
696     get("/favourites", StatusController, :favourites)
697     get("/bookmarks", StatusController, :bookmarks)
698
699     post("/statuses", StatusController, :create)
700     put("/statuses/:id", StatusController, :update)
701     delete("/statuses/:id", StatusController, :delete)
702     post("/statuses/:id/reblog", StatusController, :reblog)
703     post("/statuses/:id/unreblog", StatusController, :unreblog)
704     post("/statuses/:id/favourite", StatusController, :favourite)
705     post("/statuses/:id/unfavourite", StatusController, :unfavourite)
706     post("/statuses/:id/pin", StatusController, :pin)
707     post("/statuses/:id/unpin", StatusController, :unpin)
708     post("/statuses/:id/bookmark", StatusController, :bookmark)
709     post("/statuses/:id/unbookmark", StatusController, :unbookmark)
710     post("/statuses/:id/mute", StatusController, :mute_conversation)
711     post("/statuses/:id/unmute", StatusController, :unmute_conversation)
712
713     post("/push/subscription", SubscriptionController, :create)
714     get("/push/subscription", SubscriptionController, :show)
715     put("/push/subscription", SubscriptionController, :update)
716     delete("/push/subscription", SubscriptionController, :delete)
717
718     get("/suggestions", SuggestionController, :index)
719     delete("/suggestions/:account_id", SuggestionController, :dismiss)
720
721     get("/timelines/home", TimelineController, :home)
722     get("/timelines/direct", TimelineController, :direct)
723     get("/timelines/list/:list_id", TimelineController, :list)
724
725     get("/announcements", AnnouncementController, :index)
726     post("/announcements/:id/dismiss", AnnouncementController, :mark_read)
727   end
728
729   scope "/api/v1", Pleroma.Web.MastodonAPI do
730     pipe_through(:app_api)
731
732     post("/apps", AppController, :create)
733     get("/apps/verify_credentials", AppController, :verify_credentials)
734   end
735
736   scope "/api/v1", Pleroma.Web.MastodonAPI do
737     pipe_through(:api)
738
739     get("/accounts/search", SearchController, :account_search)
740     get("/search", SearchController, :search)
741
742     get("/accounts/lookup", AccountController, :lookup)
743
744     get("/accounts/:id/statuses", AccountController, :statuses)
745     get("/accounts/:id/followers", AccountController, :followers)
746     get("/accounts/:id/following", AccountController, :following)
747     get("/accounts/:id", AccountController, :show)
748
749     post("/accounts", AccountController, :create)
750
751     get("/instance", InstanceController, :show)
752     get("/instance/peers", InstanceController, :peers)
753
754     get("/statuses", StatusController, :index)
755     get("/statuses/:id", StatusController, :show)
756     get("/statuses/:id/context", StatusController, :context)
757     get("/statuses/:id/card", StatusController, :card)
758     get("/statuses/:id/favourited_by", StatusController, :favourited_by)
759     get("/statuses/:id/reblogged_by", StatusController, :reblogged_by)
760     get("/statuses/:id/history", StatusController, :show_history)
761     get("/statuses/:id/source", StatusController, :show_source)
762
763     get("/custom_emojis", CustomEmojiController, :index)
764
765     get("/trends", MastodonAPIController, :empty_array)
766
767     get("/timelines/public", TimelineController, :public)
768     get("/timelines/tag/:tag", TimelineController, :hashtag)
769
770     get("/polls/:id", PollController, :show)
771
772     get("/directory", DirectoryController, :index)
773   end
774
775   scope "/api/v2", Pleroma.Web.MastodonAPI do
776     pipe_through(:api)
777     get("/search", SearchController, :search2)
778
779     post("/media", MediaController, :create2)
780
781     get("/suggestions", SuggestionController, :index2)
782   end
783
784   scope "/api", Pleroma.Web do
785     pipe_through(:config)
786
787     get("/pleroma/frontend_configurations", TwitterAPI.UtilController, :frontend_configurations)
788   end
789
790   scope "/api", Pleroma.Web do
791     pipe_through(:api)
792
793     get(
794       "/account/confirm_email/:user_id/:token",
795       TwitterAPI.Controller,
796       :confirm_email,
797       as: :confirm_email
798     )
799   end
800
801   scope "/api" do
802     pipe_through(:base_api)
803
804     get("/openapi", OpenApiSpex.Plug.RenderSpec, [])
805   end
806
807   scope "/api", Pleroma.Web, as: :authenticated_twitter_api do
808     pipe_through(:authenticated_api)
809
810     get("/oauth_tokens", TwitterAPI.Controller, :oauth_tokens)
811     delete("/oauth_tokens/:id", TwitterAPI.Controller, :revoke_token)
812   end
813
814   scope "/", Pleroma.Web do
815     # Note: html format is supported only if static FE is enabled
816     # Note: http signature is only considered for json requests (no auth for non-json requests)
817     pipe_through([:accepts_html_json, :http_signature, :static_fe])
818
819     get("/objects/:uuid", OStatus.OStatusController, :object)
820     get("/activities/:uuid", OStatus.OStatusController, :activity)
821     get("/notice/:id", OStatus.OStatusController, :notice)
822
823     # Mastodon compatibility routes
824     get("/users/:nickname/statuses/:id", OStatus.OStatusController, :object)
825     get("/users/:nickname/statuses/:id/activity", OStatus.OStatusController, :activity)
826   end
827
828   scope "/", Pleroma.Web do
829     # Note: html format is supported only if static FE is enabled
830     # Note: http signature is only considered for json requests (no auth for non-json requests)
831     pipe_through([:accepts_html_xml_json, :http_signature, :static_fe])
832
833     # Note: returns user _profile_ for json requests, redirects to user _feed_ for non-json ones
834     get("/users/:nickname", Feed.UserController, :feed_redirect, as: :user_feed)
835   end
836
837   scope "/", Pleroma.Web do
838     pipe_through([:accepts_html_xml])
839
840     get("/users/:nickname/feed", Feed.UserController, :feed, as: :user_feed)
841   end
842
843   scope "/", Pleroma.Web do
844     pipe_through(:accepts_html)
845     get("/notice/:id/embed_player", OStatus.OStatusController, :notice_player)
846   end
847
848   scope "/", Pleroma.Web do
849     pipe_through(:accepts_xml_rss_atom)
850     get("/tags/:tag", Feed.TagController, :feed, as: :tag_feed)
851   end
852
853   scope "/", Pleroma.Web do
854     pipe_through(:browser)
855     get("/mailer/unsubscribe/:token", Mailer.SubscriptionController, :unsubscribe)
856   end
857
858   pipeline :ap_service_actor do
859     plug(:accepts, ["activity+json", "json"])
860   end
861
862   # Server to Server (S2S) AP interactions
863   pipeline :activitypub do
864     plug(:ap_service_actor)
865     plug(:http_signature)
866   end
867
868   # Client to Server (C2S) AP interactions
869   pipeline :activitypub_client do
870     plug(:ap_service_actor)
871     plug(:fetch_session)
872     plug(:authenticate)
873     plug(:after_auth)
874   end
875
876   scope "/", Pleroma.Web.ActivityPub do
877     pipe_through([:activitypub_client])
878
879     get("/api/ap/whoami", ActivityPubController, :whoami)
880     get("/users/:nickname/inbox", ActivityPubController, :read_inbox)
881
882     get("/users/:nickname/outbox", ActivityPubController, :outbox)
883     post("/users/:nickname/outbox", ActivityPubController, :update_outbox)
884     post("/api/ap/upload_media", ActivityPubController, :upload_media)
885
886     # The following two are S2S as well, see `ActivityPub.fetch_follow_information_for_user/1`:
887     get("/users/:nickname/followers", ActivityPubController, :followers)
888     get("/users/:nickname/following", ActivityPubController, :following)
889     get("/users/:nickname/collections/featured", ActivityPubController, :pinned)
890   end
891
892   scope "/", Pleroma.Web.ActivityPub do
893     pipe_through(:activitypub)
894     post("/inbox", ActivityPubController, :inbox)
895     post("/users/:nickname/inbox", ActivityPubController, :inbox)
896   end
897
898   scope "/relay", Pleroma.Web.ActivityPub do
899     pipe_through(:ap_service_actor)
900
901     get("/", ActivityPubController, :relay)
902
903     scope [] do
904       pipe_through(:http_signature)
905       post("/inbox", ActivityPubController, :inbox)
906     end
907
908     get("/following", ActivityPubController, :relay_following)
909     get("/followers", ActivityPubController, :relay_followers)
910   end
911
912   scope "/internal/fetch", Pleroma.Web.ActivityPub do
913     pipe_through(:ap_service_actor)
914
915     get("/", ActivityPubController, :internal_fetch)
916     post("/inbox", ActivityPubController, :inbox)
917   end
918
919   scope "/.well-known", Pleroma.Web do
920     pipe_through(:well_known)
921
922     get("/host-meta", WebFinger.WebFingerController, :host_meta)
923     get("/webfinger", WebFinger.WebFingerController, :webfinger)
924     get("/nodeinfo", Nodeinfo.NodeinfoController, :schemas)
925   end
926
927   scope "/nodeinfo", Pleroma.Web do
928     get("/:version", Nodeinfo.NodeinfoController, :nodeinfo)
929   end
930
931   scope "/", Pleroma.Web do
932     pipe_through(:api)
933
934     get("/manifest.json", ManifestController, :show)
935   end
936
937   scope "/", Pleroma.Web do
938     pipe_through(:pleroma_html)
939
940     post("/auth/password", TwitterAPI.PasswordController, :request)
941   end
942
943   scope "/proxy/", Pleroma.Web do
944     get("/preview/:sig/:url", MediaProxy.MediaProxyController, :preview)
945     get("/preview/:sig/:url/:filename", MediaProxy.MediaProxyController, :preview)
946     get("/:sig/:url", MediaProxy.MediaProxyController, :remote)
947     get("/:sig/:url/:filename", MediaProxy.MediaProxyController, :remote)
948   end
949
950   if Pleroma.Config.get(:env) == :dev do
951     scope "/dev" do
952       pipe_through([:mailbox_preview])
953
954       forward("/mailbox", Plug.Swoosh.MailboxPreview, base_path: "/dev/mailbox")
955     end
956   end
957
958   scope "/" do
959     pipe_through([:pleroma_html, :authenticate, :require_admin])
960     live_dashboard("/phoenix/live_dashboard")
961   end
962
963   # Test-only routes needed to test action dispatching and plug chain execution
964   if Pleroma.Config.get(:env) == :test do
965     @test_actions [
966       :do_oauth_check,
967       :fallback_oauth_check,
968       :skip_oauth_check,
969       :fallback_oauth_skip_publicity_check,
970       :skip_oauth_skip_publicity_check,
971       :missing_oauth_check_definition
972     ]
973
974     scope "/test/api", Pleroma.Tests do
975       pipe_through(:api)
976
977       for action <- @test_actions do
978         get("/#{action}", AuthTestController, action)
979       end
980     end
981
982     scope "/test/authenticated_api", Pleroma.Tests do
983       pipe_through(:authenticated_api)
984
985       for action <- @test_actions do
986         get("/#{action}", AuthTestController, action)
987       end
988     end
989   end
990
991   scope "/", Pleroma.Web.MongooseIM do
992     get("/user_exists", MongooseIMController, :user_exists)
993     get("/check_password", MongooseIMController, :check_password)
994   end
995
996   scope "/", Pleroma.Web.Fallback do
997     get("/registration/:token", RedirectController, :registration_page)
998     get("/:maybe_nickname_or_id", RedirectController, :redirector_with_meta)
999     match(:*, "/api/pleroma*path", LegacyPleromaApiRerouterPlug, [])
1000     get("/api*path", RedirectController, :api_not_implemented)
1001     get("/*path", RedirectController, :redirector_with_preload)
1002
1003     options("/*path", RedirectController, :empty)
1004   end
1005
1006   # TODO: Change to Phoenix.Router.routes/1 for Phoenix 1.6.0+
1007   def get_api_routes do
1008     __MODULE__.__routes__()
1009     |> Enum.reject(fn r -> r.plug == Pleroma.Web.Fallback.RedirectController end)
1010     |> Enum.map(fn r ->
1011       r.path
1012       |> String.split("/", trim: true)
1013       |> List.first()
1014     end)
1015     |> Enum.uniq()
1016   end
1017 end
The code running on annihilation.social