Merge branch 'master' of git.fsmpi.rwth-aachen.de:videoagwebsite/videoagwebsite

.gitignore

@@ -2,5 +2,11 @@
 config.py
 __pycache__
 *.sqlite
+files
 files/*
 static/500.html
+nginx.err.log
+nginx.log
+nginx.pid
+nginx.conf
+uwsgi.sock

README.md

@@ -7,27 +7,31 @@ Hinweis: diese Variante startet eine lokale Testversion der Website, es sind nic
 1. Repo Clonen
 2. Verzeichnis betreten
 3. (optional) config.py.example anpassen und als config.py neu speichern
-(Achtung: per default werden keine Beispieldaten initialisiert und auch kein useraccount
-SQLITE_INIT_DATA sollte also wenigstens beim ersten Durchlauf True sein)
-4. Schauen ob alle Dependencies erfüllt sind (siehe weiter unten)
+4. Schauen, ob alle Dependencies erfüllt sind (siehe weiter unten)
 5. `./run.py` ausführen
-6. unter [http://localhost:5000](http://localhost:5000) ist die Website verfügbar
+6. Unter [http://localhost:5000](http://localhost:5000) ist die Website verfügbar
 7. Moderatorlogin mit user: `videoag` Passwort: `videoag`
 
+Alternativ, insbesondere zum Testen der Zugriffsbeschränkungen: Siehe `nginx.example.conf`.
+
 ### Zum Mitmachen:
-1. Repo zum User clonen, dafür den "Clone-Button auf der Website verwenden
-2. Weiter mit 'Zum Testen'
-3. Änderungen machen
-4. ins eigene Repo pushen
-5. Pull-Request an uns, dazu unter "Merge-Requests" einmal auf "New Merge Request" und das Private Repo auswählen.
+1. Repo für den eigenen User forken, dafür den "Fork-Button" auf der Website verwenden
+2. Sicherstellen, dass der Upstream richtig konfiguriert ist:  
+[Link](https://help.github.com/articles/configuring-a-remote-for-a-fork/)
+Origin stellt hier euren User da, Upstream das Original der Gruppe videoagwebsite
+3. Erstellt euch eine eigene Branch, diese könnt ihr nennen wie ihr wollt, entweder nach der Änderung oder eurem Namen (git branch username), danach switched ihr in diese Branch (git checkout username)
+3. Die Initialisierung ist unter "Zum Testen" bereits erklärt worden
+3. Änderungen machen, committen, upstream mergen (git fetch upstream; git merge upstream/master)
+4. Ins eigene Repo pushen (git push)
+5. Pull-Request an uns, dazu unter "Merge-Requests" einmal auf "New Merge Request" und das Private Repo auswählen; oder ihr geht auf euer privates repo, da taucht dann eine Benachrichtigung über einen möglichen Merge-Request auf
 6. Warten
 7. Wir mergen die Änderungen
 
 ### Abhängigkeiten
 Notwendig:
-* python3
-* flask
+* python (Version 3)
 * sqlite
+* python-flask
 * python-requests (wird vom L2P und vom Kalenderimport verwendet, kann nicht optional eingebunden werden)
 
 Optional (wird für einzelne Features benötigt):
@@ -37,4 +41,4 @@ Optional (wird für einzelne Features benötigt):
 * python-mysql-connector (wenn MySQL als Datenbank verwendet werden soll)
 
 Kurzform unter Ubuntu:
-sudo apt install python3 python3-pip sqlite python3-requests python3-lxml python-ldap python3-icalendar; pip3 install --upgrade pip; pip3 install Flask python-mysql-connector
+sudo apt install python3 python3-flask sqlite python3-requests python3-lxml python3-ldap3 python3-icalendar python3-mysql.connector

config.py.example

 # Defaults for development ,do not use in production!
 DEBUG = False
+SERVER_IP = 'localhost'
 VIDEOPREFIX = 'https://videoag.fsmpi.rwth-aachen.de'
 VIDEOMOUNT = [{'mountpoint': 'files/protected/', 'prefix':'protected/'},{'mountpoint':'files/pub/','prefix':'pub/' }, {'mountpoint':'files/vpnonline/','prefix':'vpnonline/' }]
 #SECRET_KEY = 'something random'
@@ -16,7 +17,7 @@ DB_DATA = 'db_example.sql'
 DB_ENGINE = 'sqlite'
 SQLITE_DB = 'db.sqlite'
 SQLITE_INIT_SCHEMA = True
-SQLITE_INIT_DATA = False
+SQLITE_INIT_DATA = True
 
 #JOBS_API_KEY = 'something random'
 

nginx.conf.example

+# Debug-only nginx config for this website
+#
+# Requires system-wide installation of nginx (for /etc/nginx/*)
+#
+# 1. Start nginx
+#  nginx -c nginx.conf.example -p .
+# 2. Start uwsgi
+#  uwsgi -s uwsgi.sock --manage-script-name --mount /=server:app --plugin python --enable-threads
+# 3. Visit http://localhost:5000/
+
+pid nginx.pid;
+error_log nginx.err.log;
+
+events {
+	worker_connections 768;
+}
+
+http {
+	access_log nginx.log;
+	client_body_in_file_only off;
+	include /etc/nginx/mime.types;
+	default_type application/octet-stream;
+	sendfile on;
+	tcp_nopush on;
+	tcp_nodelay on;
+	keepalive_timeout 65;
+	types_hash_max_size 2048;
+	server {
+		#listen 5000;
+		#listen [::]:5000;
+		listen localhost:5000;
+		error_page 502 /static/500.html;
+		location /static/ {
+			root .;
+		}
+		location /files/ {
+			auth_request /auth;
+			# For use with sshfs (recommended)
+				#alias /mnt/videoag/srv/videoag/released/;
+			# For use without sshfs
+				proxy_pass https://videoag.fsmpi.rwth-aachen.de/;
+				proxy_set_header Host "videoag.fsmpi.rwth-aachen.de";
+		}
+		location / {
+			include /etc/nginx/uwsgi_params;
+			uwsgi_param REQUEST_URI $uri;
+			uwsgi_param HTTP_X_ORIGINAL_URI $request_uri;
+			uwsgi_param HTTP_X_REAL_IP $remote_addr;
+			uwsgi_pass unix:uwsgi.sock;
+		}
+	}
+}

run.py

@@ -2,4 +2,4 @@
 from server import *
 
 if __name__ == '__main__':
-	app.run(threaded=True)
+	app.run(threaded=True, host=config['SERVER_IP'])

server.py

@@ -71,7 +71,10 @@ def mod_required(func):
 			return func(*args, **kwargs)
 	return decorator
 
+csrf_endpoints = []
+
 def csrf_protect(func):
+	csrf_endpoints.append(func.__name__)
 	@wraps(func)
 	def decorator(*args, **kwargs):
 		if '_csrf_token' in request.values:
@@ -79,13 +82,19 @@ def csrf_protect(func):
 		elif request.get_json() and ('_csrf_token' in request.get_json()):
 			token = request.get_json()['_csrf_token']
 		else:
-			token = none
+			token = None
 		if not ('_csrf_token' in session) or (session['_csrf_token'] != token ) or not token: 
 			return 'csrf test failed', 403
 		else:
 			return func(*args, **kwargs)
 	return decorator
 
+@app.url_defaults
+def csrf_inject(endpoint, values):
+	if endpoint not in csrf_endpoints or not session['_csrf_token']:
+		return
+	values['_csrf_token'] = session['_csrf_token']
+
 def evalperm(perms):
 	cperms = []
 	lperms = []
@@ -107,6 +116,8 @@ def evalperm(perms):
 
 @app.template_filter()
 def checkperm(perms, username=None, password=None):
+	if ismod():
+		return True
 	perms = evalperm(perms)
 	for perm in perms:
 		if perm['type'] == 'public':
@@ -492,7 +503,7 @@ def auth(): # For use with nginx auth_request
 		return 'Internal Server Error', 500
 	url = request.headers['X-Original-Uri'].lstrip(config['VIDEOPREFIX'])
 	ip = request.headers.get('X-Real-IP', '')
-	if url.endswith('jpg'):
+	if url.endswith('jpg') or ismod():
 		return "OK", 200
 	perms = query('''SELECT videos.path, videos.id AS vid, perm.*
       FROM videos
@@ -500,10 +511,9 @@ def auth(): # For use with nginx auth_request
       JOIN courses ON (lectures.course_id = courses.id)
 			LEFT JOIN perm ON (videos.id = perm.video_id OR lectures.id = perm.lecture_id OR courses.id = perm.course_id)
       WHERE videos.path = ?
-      AND (? OR (courses.visible AND lectures.visible AND videos.visible))
+      AND (courses.visible AND lectures.visible AND videos.visible)
 			ORDER BY perm.video_id DESC, perm.lecture_id DESC, perm.course_id DESC''',
-			url, ismod())
-
+			url)
 	if not perms:
 		return "Not allowed", 403
 	auth = request.authorization

templates/500.html

@@ -6,7 +6,10 @@
 	</div>
 	<div class="row panel-body">
 		<div class="col-xs-12">
-			Es ist ein Fehler aufgetreten.
+			Es ist ein interner Fehler aufgetreten.
+			Eventuell tritt dieser nur vorübergehend auf, versuche es doch einfach in ein paar Minuten noch einmal.
+			Sollte das Problem länger bestehen, schreib uns bitte eine Mail an <a href="mailto:video@fsmpi.rwth-aachen.de">video@fsmpi.rwth-aachen.de</a>.
+			Wir werden uns dann so schnellst möglich darum kümmern.
 		</div>
 	</div>
 </div>

templates/base.html

@@ -84,7 +84,7 @@
 										{
 											html:true,
 											title:'Login für Moderatoren',
-											content:'<form method="post" action="{{url_for('login', ref=request.url)}}"><input autofocus placeholder="User" name="user" type="text"><br><input placeholder="Password" name="password" type="password"><br><input type="submit" value="Login"></form>'
+											content:'<form method="post" action="{{url_for('login', ref=request.values.get('ref', request.url))}}"><input autofocus placeholder="User" name="user" type="text"><br><input placeholder="Password" name="password" type="password"><br><input type="submit" value="Login"></form>'
 										}
 										)
 							</script>

templates/course.html

@@ -51,7 +51,7 @@
 </div>
 <div class="panel panel-default">
 	<div class="panel-heading">
-		<h1 class="panel-title">Videos{% if ismod() %} <a class="btn btn-default" style="margin-right: 5px;" href="{{ url_for('create', table='lectures', time=datetime.now(), title='Noch kein Titel', visible='0', course_id=course.id, ref=request.url, _csrf_token=session['_csrf_token']) }}">Neuer Termin</a><a class="btn btn-default" style="margin-right: 5px;" href="{{url_for('import_from', id=course['id'])}}">Campus Import</a>{% endif %} <a class="fa fa-rss-square pull-right" aria-hidden="true" href="{{url_for('feed', handle=course.handle)}}" style="text-decoration: none"></a> </h1>
+		<h1 class="panel-title">Videos{% if ismod() %} <a class="btn btn-default" style="margin-right: 5px;" href="{{ url_for('create', table='lectures', time=datetime.now(), title='Noch kein Titel', visible='0', course_id=course.id, ref=request.url) }}">Neuer Termin</a><a class="btn btn-default" style="margin-right: 5px;" href="{{url_for('import_from', id=course['id'])}}">Campus Import</a>{% endif %} <a class="fa fa-rss-square pull-right" aria-hidden="true" href="{{url_for('feed', handle=course.handle)}}" style="text-decoration: none"></a> </h1>
 	</div>
 	<ul class="list-group lectureslist">
 		{% for l in lectures %}

templates/courses.html

@@ -9,7 +9,8 @@
 			</li>
 			{% if ismod() %} 
 			<li>
-				<a class="btn btn-default" href="{{ url_for('create', table='courses', handle='new'+(randint(0,1000)|string), title='Neue Veranstaltung', responsible=session.user.givenName, ref=request.url, _csrf_token=session['_csrf_token']) }}">Neue Veranstaltung</a>
+				{% set newhandle = 'new'+(randint(0,1000)|string) %}
+				<a class="btn btn-default" href="{{ url_for('create', table='courses', handle=newhandle, title='Neue Veranstaltung', responsible=session.user.givenName, ref=url_for('course', handle=newhandle)) }}">Neue Veranstaltung</a>
 			</li>
 			{% endif %}
 			<li class="dropdown" style="padding-right: 0px">

templates/index.html

@@ -54,7 +54,7 @@
 	<div class="col-xs-12">
 		<ul class="list-inline pull-right">
 			<li style="padding-right: 0px;">
-				<a class="btn btn-default" href="{{ url_for('create', table='announcements', text='Neue Ankündigung', time_publish=datetime.now().replace(hour=0, minute=0, second=0, microsecond=0), time_expire=datetime.now().replace(hour=0, minute=0, second=0, microsecond=0)+timedelta(days=7), ref=request.url, _csrf_token=session['_csrf_token']) }}">Neue Ankündigung</a>
+				<a class="btn btn-default" href="{{ url_for('create', table='announcements', text='Neue Ankündigung', time_publish=datetime.now().replace(hour=0, minute=0, second=0, microsecond=0), time_expire=datetime.now().replace(hour=0, minute=0, second=0, microsecond=0)+timedelta(days=7), ref=request.url) }}">Neue Ankündigung</a>
 			</li>
 		</ul>
 	</div>

templates/macros.html

 {% macro preview(lecture) %}
 <li class="list-group-item">
-	<a class="hidden-xs" href="{{url_for('lecture', id=lecture['id'])}}" title="{{ lecture.course.title }}" style="color: #000">
+	<a href="{{url_for('lecture', id=lecture['id'])}}" title="{{ lecture.course.title }}" style="color: #000">
+		<div class="hidden-xs">
 			<div class="row">
 				<img class="col-xs-4" style="max-height: 100px; width: auto;" src="{{ config.VIDEOPREFIX }}/{{ lecture['titlefile'] }}" alt="Vorschaubild" onerror="this.src='{{url_for('static',filename='no-thumbnail.png')}}'; this.onerror=''; ">
 				<div class="col-xs-4">
@@ -8,7 +9,7 @@
 					<span>{% if ismod() %}ID: {{lecture.id}}{% endif %}</span><br>
 					<span>{{ lecture['time'] }}</span>
 					{% if lecture['speaker'] %}
-					<div class="small">Gehalten von {{ lecture['speaker'] }} </div>
+						<div class="small">Gehalten von {{ lecture['speaker']|safe }} </div>
 					{% endif %}
 				</div>
 				<div class="col-xs-4">
@@ -16,8 +17,8 @@
 					<p style="font-style: italic; color: #777;">{{ lecture['comment']|fixnl|safe }}</p>
 				</div>
 			</div>
-	</a>
-	<a class="visible-xs" href="{{url_for('lecture', id=lecture['id'])}}" title="{{ lecture.course.title }}" style="color: #000">
+		</div>
+		<div class="visible-xs">
 			<ul class="list-unstyled">
 				<li>
 					<img style="width: 100%;" src="{{ config.VIDEOPREFIX }}/{{ lecture['titlefile'] }}" alt="Vorschaubild" onerror="this.src='{{url_for('static',filename='no-thumbnail.png')}}'; this.onerror=''; ">
@@ -37,6 +38,7 @@
 					<p style="font-style: italic; color: #777;">{{ lecture['comment']|fixnl|safe }}</p>
 				</li>
 			</ul>
+		</div>
 	</a>
 </li>
 
@@ -60,7 +62,7 @@ $('#videoplayer').css("width");
 	<div class="row">
 			{% if show_semester %}
 				<span class="col-xs-2 col-md-1">
-					{{ course.semester }}
+					{{ course.semester|semester }}
 				</span>
 				<span class="col-xs-10 col-md-6">
 			{% else %}