chiark / gitweb /
Bring CHANGES.html up to date
[disorder] / lib / trackdb.c
index d4e7f3052ba82739a799fb399c40276176bf25a9..e1bbfc881bbd81ccfbedf6a72d1d1f17b46a89f9 100644 (file)
@@ -1,37 +1,31 @@
 /*
  * This file is part of DisOrder
 /*
  * This file is part of DisOrder
- * Copyright (C) 2005, 2006, 2007 Richard Kettlewell
+ * Copyright (C) 2005-2008 Richard Kettlewell
  *
  *
- * This program is free software; you can redistribute it and/or modify
+ * This program is free software: you can redistribute it and/or modify
  * it under the terms of the GNU General Public License as published by
  * it under the terms of the GNU General Public License as published by
- * the Free Software Foundation; either version 2 of the License, or
+ * the Free Software Foundation, either version 3 of the License, or
  * (at your option) any later version.
  * (at your option) any later version.
- *
- * This program is distributed in the hope that it will be useful, but
- * WITHOUT ANY WARRANTY; without even the implied warranty of
- * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
- * General Public License for more details.
- *
+ * 
+ * This program is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+ * GNU General Public License for more details.
+ * 
  * You should have received a copy of the GNU General Public License
  * You should have received a copy of the GNU General Public License
- * along with this program; if not, write to the Free Software
- * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
- * USA
+ * along with this program.  If not, see <http://www.gnu.org/licenses/>.
  */
  */
-/** @file server/trackdb.c
+/** @file lib/trackdb.c
  * @brief Track database
  *
  * This file is getting in desparate need of splitting up...
  */
 
  * @brief Track database
  *
  * This file is getting in desparate need of splitting up...
  */
 
-#include <config.h>
-#include "types.h"
+#include "common.h"
 
 
-#include <string.h>
-#include <stdio.h>
 #include <db.h>
 #include <sys/socket.h>
 #include <pcre.h>
 #include <db.h>
 #include <sys/socket.h>
 #include <pcre.h>
-#include <assert.h>
 #include <unistd.h>
 #include <errno.h>
 #include <stddef.h>
 #include <unistd.h>
 #include <errno.h>
 #include <stddef.h>
@@ -39,7 +33,6 @@
 #include <sys/resource.h>
 #include <time.h>
 #include <arpa/inet.h>
 #include <sys/resource.h>
 #include <time.h>
 #include <arpa/inet.h>
-#include <sys/wait.h>
 #include <dirent.h>
 #include <sys/stat.h>
 #include <gcrypt.h>
 #include <dirent.h>
 #include <sys/stat.h>
 #include <gcrypt.h>
@@ -64,7 +57,8 @@
 #include "hash.h"
 #include "unicode.h"
 #include "unidata.h"
 #include "hash.h"
 #include "unicode.h"
 #include "unidata.h"
-#include "mime.h"
+#include "base64.h"
+#include "sendmail.h"
 
 #define RESCAN "disorder-rescan"
 #define DEADLOCK "disorder-deadlock"
 
 #define RESCAN "disorder-rescan"
 #define DEADLOCK "disorder-deadlock"
@@ -113,7 +107,7 @@ DB *trackdb_prefsdb;
  * - Values are UTF-8(NFC(unicode(path name)))
  * - There can be more than one value per key
  * - Presence of key,value means that path matches the search terms
  * - Values are UTF-8(NFC(unicode(path name)))
  * - There can be more than one value per key
  * - Presence of key,value means that path matches the search terms
- * - Only tracks fond in @ref tracks_tracksdb are represented here
+ * - Only tracks fond in @ref trackdb_tracksdb are represented here
  * - This database can be reconstructed, it contains no user data
  */
 DB *trackdb_searchdb;
  * - This database can be reconstructed, it contains no user data
  */
 DB *trackdb_searchdb;
@@ -145,6 +139,17 @@ DB *trackdb_globaldb;                   /* global preferences */
  */
 DB *trackdb_noticeddb;                   /* when track noticed */
 
  */
 DB *trackdb_noticeddb;                   /* when track noticed */
 
+/** @brief The schedule database
+ *
+ * - Keys are ID strings, generated at random
+ * - Values are encoded key-value pairs
+ * - There can be more than one value per key
+ * - Data cannot be reconstructed
+ *
+ * See @ref server/schedule.c for further information.
+ */
+DB *trackdb_scheduledb;
+
 /** @brief The user database
  * - Keys are usernames
  * - Values are encoded key-value pairs
 /** @brief The user database
  * - Keys are usernames
  * - Values are encoded key-value pairs
@@ -156,16 +161,22 @@ static pid_t db_deadlock_pid = -1;      /* deadlock manager PID */
 static pid_t rescan_pid = -1;           /* rescanner PID */
 static int initialized, opened;         /* state */
 
 static pid_t rescan_pid = -1;           /* rescanner PID */
 static int initialized, opened;         /* state */
 
-/* tracks matched by required_tags */
-static char **reqtracks;
-static size_t nreqtracks;
-
 /* comparison function for keys */
 static int compare(DB attribute((unused)) *db_,
                   const DBT *a, const DBT *b) {
   return compare_path_raw(a->data, a->size, b->data, b->size);
 }
 
 /* comparison function for keys */
 static int compare(DB attribute((unused)) *db_,
                   const DBT *a, const DBT *b) {
   return compare_path_raw(a->data, a->size, b->data, b->size);
 }
 
+/** @brief Test whether the track database can be read
+ * @return 1 if it can, 0 if it cannot
+ */
+int trackdb_readable(void) {
+  char *usersdb;
+
+  byte_xasprintf(&usersdb, "%s/users.db", config->home);
+  return access(usersdb, R_OK) == 0;
+}
+
 /** @brief Open database environment
  * @param flags Flags word
  *
 /** @brief Open database environment
  * @param flags Flags word
  *
@@ -259,10 +270,23 @@ static int reap_db_deadlock(ev_source attribute((unused)) *ev,
   return 0;
 }
 
   return 0;
 }
 
-static pid_t subprogram(ev_source *ev, const char *prog,
-                        int outputfd) {
+static pid_t subprogram(ev_source *ev, int outputfd, const char *prog,
+                        ...) {
   pid_t pid;
   pid_t pid;
-
+  va_list ap;
+  const char *args[1024], **argp, *a;
+
+  argp = args;
+  *argp++ = prog;
+  *argp++ = "--config";
+  *argp++ = configfile;
+  *argp++ = debugging ? "--debug" : "--no-debug";
+  *argp++ = log_default == &log_syslog ? "--syslog" : "--no-syslog";
+  va_start(ap, prog);
+  while((a = va_arg(ap, const char *)))
+    *argp++ = a;
+  va_end(ap);
+  *argp = 0;
   /* If we're in the background then trap subprocess stdout/stderr */
   if(!(pid = xfork())) {
     exitfn = _exit;
   /* If we're in the background then trap subprocess stdout/stderr */
   if(!(pid = xfork())) {
     exitfn = _exit;
@@ -279,10 +303,7 @@ static pid_t subprogram(ev_source *ev, const char *prog,
     /* If we were negatively niced, undo it.  We don't bother checking for 
     * error, it's not that important. */
     setpriority(PRIO_PROCESS, 0, 0);
     /* If we were negatively niced, undo it.  We don't bother checking for 
     * error, it's not that important. */
     setpriority(PRIO_PROCESS, 0, 0);
-    execlp(prog, prog, "--config", configfile,
-           debugging ? "--debug" : "--no-debug",
-           log_default == &log_syslog ? "--syslog" : "--no-syslog",
-           (char *)0);
+    execvp(prog, (char **)args);
     fatal(errno, "error invoking %s", prog);
   }
   return pid;
     fatal(errno, "error invoking %s", prog);
   }
   return pid;
@@ -291,7 +312,7 @@ static pid_t subprogram(ev_source *ev, const char *prog,
 /* start deadlock manager */
 void trackdb_master(ev_source *ev) {
   assert(db_deadlock_pid == -1);
 /* start deadlock manager */
 void trackdb_master(ev_source *ev) {
   assert(db_deadlock_pid == -1);
-  db_deadlock_pid = subprogram(ev, DEADLOCK, -1);
+  db_deadlock_pid = subprogram(ev, -1, DEADLOCK, (char *)0);
   ev_child(ev, db_deadlock_pid, 0, reap_db_deadlock, 0);
   D(("started deadlock manager"));
 }
   ev_child(ev, db_deadlock_pid, 0, reap_db_deadlock, 0);
   D(("started deadlock manager"));
 }
@@ -308,10 +329,18 @@ void trackdb_deinit(void) {
   if((err = trackdb_env->close(trackdb_env, 0)))
     fatal(0, "trackdb_env->close: %s", db_strerror(err));
 
   if((err = trackdb_env->close(trackdb_env, 0)))
     fatal(0, "trackdb_env->close: %s", db_strerror(err));
 
-  if(rescan_pid != -1 && kill(rescan_pid, SIGTERM) < 0)
-    fatal(errno, "error killing rescanner");
+  if(rescan_pid != -1) {
+    /* shut down the rescanner */
+    if(kill(rescan_pid, SIGTERM) < 0)
+      fatal(errno, "error killing rescanner");
+    /* wait for the rescanner to finish */
+    while(waitpid(rescan_pid, &err, 0) == -1 && errno == EINTR)
+      ;
+  }
 
 
-  /* terminate the deadlock manager */
+  /* TODO kill any stats subprocesses */
+
+  /* finally terminate the deadlock manager */
   if(db_deadlock_pid != -1 && kill(db_deadlock_pid, SIGTERM) < 0)
     fatal(errno, "error killing deadlock manager");
   db_deadlock_pid = -1;
   if(db_deadlock_pid != -1 && kill(db_deadlock_pid, SIGTERM) < 0)
     fatal(errno, "error killing deadlock manager");
   db_deadlock_pid = -1;
@@ -325,7 +354,7 @@ static DB *open_db(const char *path,
                    DBTYPE dbtype,
                    u_int32_t openflags,
                    int mode) {
                    DBTYPE dbtype,
                    u_int32_t openflags,
                    int mode) {
-  int err;
+  int err, err2;
   DB *db;
 
   D(("open %s", path));
   DB *db;
 
   D(("open %s", path));
@@ -340,8 +369,14 @@ static DB *open_db(const char *path,
       fatal(0, "db->set_bt_compare %s: %s", path, db_strerror(err));
   if((err = db->open(db, 0, path, 0, dbtype,
                      openflags | DB_AUTO_COMMIT, mode))) {
       fatal(0, "db->set_bt_compare %s: %s", path, db_strerror(err));
   if((err = db->open(db, 0, path, 0, dbtype,
                      openflags | DB_AUTO_COMMIT, mode))) {
-    if((openflags & DB_CREATE) || errno != ENOENT)
+    if((openflags & DB_CREATE) || errno != ENOENT) {
+      if((err2 = db->close(db, 0)))
+        error(0, "db->close: %s", db_strerror(err2));
+      trackdb_close();
+      trackdb_env->close(trackdb_env,0);
+      trackdb_env = 0;
       fatal(0, "db->open %s: %s", path, db_strerror(err));
       fatal(0, "db->open %s: %s", path, db_strerror(err));
+    }
     db->close(db, 0);
     db = 0;
   }
     db->close(db, 0);
     db = 0;
   }
@@ -349,7 +384,7 @@ static DB *open_db(const char *path,
 }
 
 /** @brief Open track databases
 }
 
 /** @brief Open track databases
- * @param Flags flags word
+ * @param flags Flags flags word
  *
  * @p flags should have one of:
  * - @p TRACKDB_NO_UPGRADE, if no upgrade should be attempted
  *
  * @p flags should have one of:
  * - @p TRACKDB_NO_UPGRADE, if no upgrade should be attempted
@@ -396,7 +431,7 @@ void trackdb_open(int flags) {
         /* This database needs upgrading */
         info("invoking disorder-dbupgrade to upgrade from %ld to %ld",
              oldversion, config->dbversion);
         /* This database needs upgrading */
         info("invoking disorder-dbupgrade to upgrade from %ld to %ld",
              oldversion, config->dbversion);
-        pid = subprogram(0, "disorder-dbupgrade", -1);
+        pid = subprogram(0, -1, "disorder-dbupgrade", (char *)0);
         while(waitpid(pid, &err, 0) == -1 && errno == EINTR)
           ;
         if(err)
         while(waitpid(pid, &err, 0) == -1 && errno == EINTR)
           ;
         if(err)
@@ -423,6 +458,9 @@ void trackdb_open(int flags) {
     trackdb_existing_database = 0;
   }
   /* open the databases */
     trackdb_existing_database = 0;
   }
   /* open the databases */
+  if(!(trackdb_usersdb = open_db("users.db",
+                                 0, DB_HASH, dbflags, 0600)))
+    fatal(0, "cannot open users.db");
   trackdb_tracksdb = open_db("tracks.db",
                              DB_RECNUM, DB_BTREE, dbflags, 0666);
   trackdb_searchdb = open_db("search.db",
   trackdb_tracksdb = open_db("tracks.db",
                              DB_RECNUM, DB_BTREE, dbflags, 0666);
   trackdb_searchdb = open_db("search.db",
@@ -433,8 +471,7 @@ void trackdb_open(int flags) {
   trackdb_globaldb = open_db("global.db", 0, DB_HASH, dbflags, 0666);
   trackdb_noticeddb = open_db("noticed.db",
                              DB_DUPSORT, DB_BTREE, dbflags, 0666);
   trackdb_globaldb = open_db("global.db", 0, DB_HASH, dbflags, 0666);
   trackdb_noticeddb = open_db("noticed.db",
                              DB_DUPSORT, DB_BTREE, dbflags, 0666);
-  trackdb_usersdb = open_db("users.db",
-                            0, DB_HASH, dbflags, 0600);
+  trackdb_scheduledb = open_db("schedule.db", 0, DB_HASH, dbflags, 0666);
   if(!trackdb_existing_database) {
     /* Stash the database version */
     char buf[32];
   if(!trackdb_existing_database) {
     /* Stash the database version */
     char buf[32];
@@ -453,29 +490,31 @@ void trackdb_close(void) {
   /* sanity checks */
   assert(opened == 1);
   --opened;
   /* sanity checks */
   assert(opened == 1);
   --opened;
-  if((err = trackdb_tracksdb->close(trackdb_tracksdb, 0)))
-    fatal(0, "error closing tracks.db: %s", db_strerror(err));
-  if((err = trackdb_searchdb->close(trackdb_searchdb, 0)))
-    fatal(0, "error closing search.db: %s", db_strerror(err));
-  if((err = trackdb_tagsdb->close(trackdb_tagsdb, 0)))
-    fatal(0, "error closing tags.db: %s", db_strerror(err));
-  if((err = trackdb_prefsdb->close(trackdb_prefsdb, 0)))
-    fatal(0, "error closing prefs.db: %s", db_strerror(err));
-  if((err = trackdb_globaldb->close(trackdb_globaldb, 0)))
-    fatal(0, "error closing global.db: %s", db_strerror(err));
-  if((err = trackdb_noticeddb->close(trackdb_noticeddb, 0)))
-    fatal(0, "error closing noticed.db: %s", db_strerror(err));
-  if((err = trackdb_usersdb->close(trackdb_usersdb, 0)))
-    fatal(0, "error closing users.db: %s", db_strerror(err));
-  trackdb_tracksdb = trackdb_searchdb = trackdb_prefsdb = 0;
-  trackdb_tagsdb = trackdb_globaldb = 0;
+#define CLOSE(N, V) do {                                        \
+  if(V && (err = V->close(V, 0)))                               \
+    fatal(0, "error closing %s: %s", N, db_strerror(err));      \
+  V = 0;                                                        \
+} while(0)
+  CLOSE("tracks.db", trackdb_tracksdb);
+  CLOSE("search.db", trackdb_searchdb);
+  CLOSE("tags.db", trackdb_tagsdb);
+  CLOSE("prefs.db", trackdb_prefsdb);
+  CLOSE("global.db", trackdb_globaldb);
+  CLOSE("noticed.db", trackdb_noticeddb);
+  CLOSE("schedule.db", trackdb_scheduledb);
+  CLOSE("users.db", trackdb_usersdb);
   D(("closed databases"));
 }
 
 /* generic db routines *******************************************************/
 
   D(("closed databases"));
 }
 
 /* generic db routines *******************************************************/
 
-/* fetch and decode a database entry.  Returns 0, DB_NOTFOUND or
- * DB_LOCK_DEADLOCK. */
+/** @brief Fetch and decode a database entry
+ * @param db Database
+ * @param track Track name
+ * @param kp Where to put decoded list (or NULL if you don't care)
+ * @param tid Owning transaction
+ * @return 0, @c DB_NOTFOUND or @c DB_LOCK_DEADLOCK
+ */
 int trackdb_getdata(DB *db,
                     const char *track,
                     struct kvp **kp,
 int trackdb_getdata(DB *db,
                     const char *track,
                     struct kvp **kp,
@@ -486,10 +525,12 @@ int trackdb_getdata(DB *db,
   switch(err = db->get(db, tid, make_key(&key, track),
                        prepare_data(&data), 0)) {
   case 0:
   switch(err = db->get(db, tid, make_key(&key, track),
                        prepare_data(&data), 0)) {
   case 0:
-    *kp = kvp_urldecode(data.data, data.size);
+    if(kp)
+      *kp = kvp_urldecode(data.data, data.size);
     return 0;
   case DB_NOTFOUND:
     return 0;
   case DB_NOTFOUND:
-    *kp = 0;
+    if(kp)
+      *kp = 0;
     return err;
   case DB_LOCK_DEADLOCK:
     error(0, "error querying database: %s", db_strerror(err));
     return err;
   case DB_LOCK_DEADLOCK:
     error(0, "error querying database: %s", db_strerror(err));
@@ -820,7 +861,7 @@ static int tagchar(int c) {
 }
 
 /* Parse and de-dupe a tag list.  If S=0 then assumes "". */
 }
 
 /* Parse and de-dupe a tag list.  If S=0 then assumes "". */
-static char **parsetags(const char *s) {
+char **parsetags(const char *s) {
   const char *t;
   struct vector v;
 
   const char *t;
   struct vector v;
 
@@ -989,7 +1030,8 @@ int trackdb_notice_tid(const char *track,
   int err, n;
   struct kvp *t, *a, *p;
   int t_changed, ret;
   int err, n;
   struct kvp *t, *a, *p;
   int t_changed, ret;
-  char *alias, **w;
+  char *alias, **w, *noticed;
+  time_t now;
 
   /* notice whether the tracks.db entry changes */
   t_changed = 0;
 
   /* notice whether the tracks.db entry changes */
   t_changed = 0;
@@ -1000,6 +1042,12 @@ int trackdb_notice_tid(const char *track,
   /* this is a real track */
   t_changed += kvp_set(&t, "_alias_for", 0);
   t_changed += kvp_set(&t, "_path", path);
   /* this is a real track */
   t_changed += kvp_set(&t, "_alias_for", 0);
   t_changed += kvp_set(&t, "_path", path);
+  time(&now);
+  if(ret == DB_NOTFOUND) {
+    /* It's a new track; record the time */
+    byte_xasprintf(&noticed, "%lld", (long long)now);
+    t_changed += kvp_set(&t, "_noticed", noticed);
+  }
   /* if we have an alias record it in the database */
   if((err = compute_alias(&alias, track, p, tid))) return err;
   if(alias) {
   /* if we have an alias record it in the database */
   if((err = compute_alias(&alias, track, p, tid))) return err;
   if(alias) {
@@ -1019,16 +1067,13 @@ int trackdb_notice_tid(const char *track,
   for(n = 0; w[n]; ++n)
     if((err = register_tag(track, w[n], tid)))
       return err;
   for(n = 0; w[n]; ++n)
     if((err = register_tag(track, w[n], tid)))
       return err;
-  reqtracks = 0;
   /* only store the tracks.db entry if it has changed */
   if(t_changed && (err = trackdb_putdata(trackdb_tracksdb, track, t, tid, 0)))
     return err;
   if(ret == DB_NOTFOUND) {
     uint32_t timestamp[2];
   /* only store the tracks.db entry if it has changed */
   if(t_changed && (err = trackdb_putdata(trackdb_tracksdb, track, t, tid, 0)))
     return err;
   if(ret == DB_NOTFOUND) {
     uint32_t timestamp[2];
-    time_t now;
     DBT key, data;
 
     DBT key, data;
 
-    time(&now);
     timestamp[0] = htonl((uint64_t)now >> 32);
     timestamp[1] = htonl((uint32_t)now);
     memset(&key, 0, sizeof key);
     timestamp[0] = htonl((uint64_t)now >> 32);
     timestamp[1] = htonl((uint32_t)now);
     memset(&key, 0, sizeof key);
@@ -1077,7 +1122,6 @@ int trackdb_obsolete(const char *track, DB_TXN *tid) {
     if(trackdb_delkeydata(trackdb_tagsdb,
                           w[n], track, tid) == DB_LOCK_DEADLOCK)
       return err;
     if(trackdb_delkeydata(trackdb_tagsdb,
                           w[n], track, tid) == DB_LOCK_DEADLOCK)
       return err;
-  reqtracks = 0;
   /* update tracks.db */
   if(trackdb_delkey(trackdb_tracksdb, track, tid) == DB_LOCK_DEADLOCK)
     return err;
   /* update tracks.db */
   if(trackdb_delkey(trackdb_tracksdb, track, tid) == DB_LOCK_DEADLOCK)
     return err;
@@ -1353,10 +1397,66 @@ void trackdb_stats_subprocess(ev_source *ev,
   d->done = done;
   d->u = u;
   xpipe(p);
   d->done = done;
   d->u = u;
   xpipe(p);
-  pid = subprogram(ev, "disorder-stats", p[1]);
+  pid = subprogram(ev, p[1], "disorder-stats", (char *)0);
   xclose(p[1]);
   ev_child(ev, pid, 0, stats_finished, d);
   xclose(p[1]);
   ev_child(ev, pid, 0, stats_finished, d);
-  ev_reader_new(ev, p[0], stats_read, stats_error, d, "disorder-stats reader");
+  if(!ev_reader_new(ev, p[0], stats_read, stats_error, d,
+                    "disorder-stats reader"))
+    fatal(0, "ev_reader_new for disorder-stats reader failed");
+}
+
+/** @brief Parse a track name part preference
+ * @param name Preference name
+ * @param partp Where to store part name
+ * @param contextp Where to store context name
+ * @return 0 on success, non-0 if parse fails
+ */
+static int trackdb__parse_namepref(const char *name,
+                                   char **partp,
+                                   char **contextp) {
+  char *c;
+  static const char prefix[] = "trackname_";
+  
+  if(strncmp(name, prefix, strlen(prefix)))
+    return -1;                          /* not trackname_* at all */
+  name += strlen(prefix);
+  /* There had better be a _ between context and part */
+  c = strchr(name, '_');
+  if(!c)
+    return -1;
+  /* Context is first in the pref name even though most APIs have the part
+   * first.  Confusing; sorry. */
+  *contextp = xstrndup(name, c - name);
+  ++c;
+  /* There had better NOT be a second _ */
+  if(strchr(c, '_'))
+    return -1;
+  *partp = xstrdup(c);
+  return 0;
+}
+
+/** @brief Compute the default value for a track preference
+ * @param track Track name
+ * @param name Preference name
+ * @return Default value or 0 if none/not known
+ */
+static const char *trackdb__default(const char *track, const char *name) {
+  char *context, *part;
+  
+  if(!trackdb__parse_namepref(name, &part, &context)) {
+    /* We can work out the default for a trackname_ pref */
+    return trackname_part(track, context, part);
+  } else if(!strcmp(name, "weight")) {
+    /* We know the default weight */
+    return "90000";
+  } else if(!strcmp(name, "pick_at_random")) {
+    /* By default everything is eligible for picking at random */
+    return "1";
+  } else if(!strcmp(name, "tags")) {
+    /* By default everything no track has any tags */
+    return "";
+  }
+  return 0;
 }
 
 /* set a pref (remove if value=0) */
 }
 
 /* set a pref (remove if value=0) */
@@ -1367,9 +1467,15 @@ int trackdb_set(const char *track,
   DB_TXN *tid;
   int err, cmp;
   char *oldalias, *newalias, **oldtags = 0, **newtags;
   DB_TXN *tid;
   int err, cmp;
   char *oldalias, *newalias, **oldtags = 0, **newtags;
+  const char *def;
 
 
+  /* If the value matches the default then unset instead, to keep the database
+   * tidy.  Older versions did not have this feature so your database may yet
+   * have some default values stored in it. */
   if(value) {
   if(value) {
-    /* TODO: if value matches default then set value=0 */
+    def = trackdb__default(track, name);
+    if(def && !strcmp(value, def))
+      value = 0;
   }
 
   for(;;) {
   }
 
   for(;;) {
@@ -1439,7 +1545,6 @@ int trackdb_set(const char *track,
             ++newtags;
           }
         }
             ++newtags;
           }
         }
-        reqtracks = 0;
       }
     }
     err = 0;
       }
     }
     err = 0;
@@ -1523,6 +1628,7 @@ char **trackdb_alltags(void) {
   int e;
   struct vector v[1];
 
   int e;
   struct vector v[1];
 
+  vector_init(v);
   WITH_TRANSACTION(trackdb_listkeys(trackdb_tagsdb, v, tid));
   return v->vec;
 }
   WITH_TRANSACTION(trackdb_listkeys(trackdb_tagsdb, v, tid));
   return v->vec;
 }
@@ -1557,7 +1663,7 @@ int trackdb_listkeys(DB *db, struct vector *v, DB_TXN *tid) {
 }
 
 /* return 1 iff sorted tag lists A and B have at least one member in common */
 }
 
 /* return 1 iff sorted tag lists A and B have at least one member in common */
-static int tag_intersection(char **a, char **b) {
+int tag_intersection(char **a, char **b) {
   int cmp;
 
   /* Same sort of logic as trackdb_set() above */
   int cmp;
 
   /* Same sort of logic as trackdb_set() above */
@@ -1569,176 +1675,94 @@ static int tag_intersection(char **a, char **b) {
   return 0;
 }
 
   return 0;
 }
 
-/* Check whether a track is suitable for random play.  Returns 0 if it is,
- * DB_NOTFOUND if it is not or DB_LOCK_DEADLOCK if the database gave us
- * that. */
-static int check_suitable(const char *track,
-                          DB_TXN *tid,
-                          char **required_tags,
-                          char **prohibited_tags) {
-  char **track_tags;
-  time_t last, now;
-  struct kvp *p, *t;
-  const char *pick_at_random, *played_time;
-
-  /* don't pick tracks that aren't in any surviving collection (for instance
-   * you've edited the config but the rescan hasn't done its job yet) */
-  if(!find_track_root(track)) {
-    info("found track not in any collection: %s", track);
-    return DB_NOTFOUND;
-  }
-  /* don't pick aliases - only pick the canonical form */
-  if(gettrackdata(track, &t, &p, 0, 0, tid) == DB_LOCK_DEADLOCK)
-    return DB_LOCK_DEADLOCK;
-  if(kvp_get(t, "_alias_for"))
-    return DB_NOTFOUND;
-  /* check that random play is not suppressed for this track */
-  if((pick_at_random = kvp_get(p, "pick_at_random"))
-     && !strcmp(pick_at_random, "0"))
-    return DB_NOTFOUND;
-  /* don't pick a track that's been played in the last 8 hours */
-  if((played_time = kvp_get(p, "played_time"))) {
-    last = atoll(played_time);
-    now = time(0);
-    if(now < last + 8 * 3600)       /* TODO configurable */
-      return DB_NOTFOUND;
-  }
-  track_tags = parsetags(kvp_get(p, "tags"));
-  /* check that no prohibited tag is present for this track */
-  if(prohibited_tags && tag_intersection(track_tags, prohibited_tags))
-    return DB_NOTFOUND;
-  /* check that at least one required tags is present for this track */
-  if(*required_tags && !tag_intersection(track_tags, required_tags))
-    return DB_NOTFOUND;
+static pid_t choose_pid = -1;
+static int choose_fd;
+static random_callback *choose_callback;
+static struct dynstr choose_output;
+static unsigned choose_complete;
+static int choose_status;
+#define CHOOSE_RUNNING 1
+#define CHOOSE_READING 2
+
+static void choose_finished(ev_source *ev, unsigned which) {
+  choose_complete |= which;
+  if(choose_complete != (CHOOSE_RUNNING|CHOOSE_READING))
+    return;
+  choose_pid = -1;
+  if(choose_status == 0 && choose_output.nvec > 0) {
+    dynstr_terminate(&choose_output);
+    choose_callback(ev, xstrdup(choose_output.vec));
+  } else
+    choose_callback(ev, 0);
+}
+
+/** @brief Called when @c disorder-choose terminates */
+static int choose_exited(ev_source *ev,
+                         pid_t attribute((unused)) pid,
+                         int status,
+                         const struct rusage attribute((unused)) *rusage,
+                         void attribute((unused)) *u) {
+  if(status)
+    error(0, "disorder-choose %s", wstat(status));
+  choose_status = status;
+  choose_finished(ev, CHOOSE_RUNNING);
   return 0;
 }
 
   return 0;
 }
 
-/* attempt to pick a random non-alias track */
-const char *trackdb_random(int tries) {
-  DBT key, data;
-  DB_BTREE_STAT *sp;
-  int err, n;
-  DB_TXN *tid;
-  const char *track, *candidate;
-  db_recno_t r;
-  const char *tags;
-  char **required_tags, **prohibited_tags, **tp;
-  hash *h;
-  DBC *c = 0;
+/** @brief Called with data from @c disorder-choose pipe */
+static int choose_readable(ev_source *ev,
+                           ev_reader *reader,
+                           void *ptr,
+                           size_t bytes,
+                           int eof,
+                           void attribute((unused)) *u) {
+  dynstr_append_bytes(&choose_output, ptr, bytes);
+  ev_reader_consume(reader, bytes);
+  if(eof)
+    choose_finished(ev, CHOOSE_READING);
+  return 0;
+}
 
 
-  for(;;) {
-    tid = trackdb_begin_transaction();
-    if((err = trackdb_get_global_tid("required-tags", tid, &tags)))
-      goto fail;
-    required_tags = parsetags(tags);
-    if((err = trackdb_get_global_tid("prohibited-tags", tid, &tags)))
-      goto fail;
-    prohibited_tags = parsetags(tags);
-    track = 0;
-    if(*required_tags) {
-      /* Bung all the suitable tracks into a hash and convert to a list of keys
-       * (to eliminate duplicates).  We cache this list since it is possible
-       * that it will be very large. */
-      if(!reqtracks) {
-        h = hash_new(0);
-        for(tp = required_tags; *tp; ++tp) {
-          c = trackdb_opencursor(trackdb_tagsdb, tid);
-          memset(&key, 0, sizeof key);
-          key.data = *tp;
-          key.size = strlen(*tp);
-          n = 0;
-          err = c->c_get(c, &key, prepare_data(&data), DB_SET);
-          while(err == 0) {
-            hash_add(h, xstrndup(data.data, data.size), 0,
-                     HASH_INSERT_OR_REPLACE);
-            ++n;
-            err = c->c_get(c, &key, prepare_data(&data), DB_NEXT_DUP);
-          }
-          switch(err) {
-          case 0:
-          case DB_NOTFOUND:
-            break;
-          case DB_LOCK_DEADLOCK:
-            goto fail;
-          default:
-            fatal(0, "error querying tags.db: %s", db_strerror(err));
-          }
-          trackdb_closecursor(c);
-          c = 0;
-          if(!n)
-            error(0, "required tag %s does not match any tracks", *tp);
-        }
-        nreqtracks = hash_count(h);
-        reqtracks = hash_keys(h);
-      }
-      while(nreqtracks && !track && tries-- > 0) {
-        r = (rand() * (double)nreqtracks / (RAND_MAX + 1.0));
-        candidate = reqtracks[r];
-        switch(check_suitable(candidate, tid,
-                              required_tags, prohibited_tags)) {
-        case 0:
-          track = candidate;
-          break;
-        case DB_NOTFOUND:
-          break;
-        case DB_LOCK_DEADLOCK:
-          goto fail;
-        }
-      }
-    } else {
-      /* No required tags.  We pick random record numbers in the database
-       * instead. */
-      switch(err = trackdb_tracksdb->stat(trackdb_tracksdb, tid, &sp, 0)) {
-      case 0:
-        break;
-      case DB_LOCK_DEADLOCK:
-        error(0, "error querying tracks.db: %s", db_strerror(err));
-        goto fail;
-      default:
-        fatal(0, "error querying tracks.db: %s", db_strerror(err));
-      }
-      if(!sp->bt_nkeys)
-        error(0, "cannot pick tracks at random from an empty database");
-      while(sp->bt_nkeys && !track && tries-- > 0) {
-        /* record numbers count from 1 upwards */
-        r = 1 + (rand() * (double)sp->bt_nkeys / (RAND_MAX + 1.0));
-        memset(&key, sizeof key, 0);
-        key.flags = DB_DBT_MALLOC;
-        key.size = sizeof r;
-        key.data = &r;
-        switch(err = trackdb_tracksdb->get(trackdb_tracksdb, tid, &key, prepare_data(&data),
-                                           DB_SET_RECNO)) {
-        case 0:
-          break;
-        case DB_LOCK_DEADLOCK:
-          error(0, "error querying tracks.db: %s", db_strerror(err));
-          goto fail;
-        default:
-          fatal(0, "error querying tracks.db: %s", db_strerror(err));
-        }
-        candidate = xstrndup(key.data, key.size);
-        switch(check_suitable(candidate, tid,
-                              required_tags, prohibited_tags)) {
-        case 0:
-          track = candidate;
-          break;
-        case DB_NOTFOUND:
-          break;
-        case DB_LOCK_DEADLOCK:
-          goto fail;
-        }
-      }
-    }
-    break;
-fail:
-    trackdb_closecursor(c);
-    c = 0;
-    trackdb_abort_transaction(tid);
-  }
-  trackdb_commit_transaction(tid);
-  if(!track)
-    error(0, "could not pick a random track");
-  return track;
+static int choose_read_error(ev_source *ev,
+                             int errno_value,
+                             void attribute((unused)) *u) {
+  error(errno_value, "error reading disorder-choose pipe");
+  choose_finished(ev, CHOOSE_READING);
+  return 0;
+}
+
+/** @brief Request a random track
+ * @param ev Event source
+ * @param callback Called with random track or NULL
+ * @return 0 if a request was initiated, else -1
+ *
+ * Initiates a random track choice.  @p callback will later be called back with
+ * the choice (or NULL on error).  If a choice is already underway then -1 is
+ * returned and there will be no additional callback.
+ *
+ * The caller shouldn't assume that the track returned actually exists (it
+ * might be removed between the choice and the callback, or between being added
+ * to the queue and being played).
+ */
+int trackdb_request_random(ev_source *ev,
+                           random_callback *callback) {
+  int p[2];
+  
+  if(choose_pid != -1)
+    return -1;                          /* don't run concurrent chooses */
+  xpipe(p);
+  cloexec(p[0]);
+  choose_pid = subprogram(ev, p[1], "disorder-choose", (char *)0);
+  choose_fd = p[0];
+  xclose(p[1]);
+  choose_callback = callback;
+  choose_output.nvec = 0;
+  choose_complete = 0;
+  if(!ev_reader_new(ev, p[0], choose_readable, choose_read_error, 0,
+                    "disorder-choose reader")) /* owns p[0] */
+    fatal(0, "ev_reader_new for disorder-choose reader failed");
+  ev_child(ev, choose_pid, 0, choose_exited, 0); /* owns the subprocess */
+  return 0;
 }
 
 /* get a track name given the prefs.  Set *used_db to 1 if we got the answer
 }
 
 /* get a track name given the prefs.  Set *used_db to 1 if we got the answer
@@ -1838,7 +1862,7 @@ static int do_list(struct vector *v, const char *dir,
   char *ptr;
   int err;
   size_t l, last_dir_len = 0;
   char *ptr;
   int err;
   size_t l, last_dir_len = 0;
-  char *last_dir = 0, *track, *alias;
+  char *last_dir = 0, *track;
   struct kvp *p;
 
   dl = strlen(dir);
   struct kvp *p;
 
   dl = strlen(dir);
@@ -1871,12 +1895,35 @@ static int do_list(struct vector *v, const char *dir,
         if((err = trackdb_getdata(trackdb_prefsdb,
                                   track, &p, tid)) == DB_LOCK_DEADLOCK)
           goto deadlocked;
         if((err = trackdb_getdata(trackdb_prefsdb,
                                   track, &p, tid)) == DB_LOCK_DEADLOCK)
           goto deadlocked;
+        /* There's an awkward question here...
+         *
+         * If a track shares a directory with its alias then we could
+         * do one of three things:
+         * - report both.  Looks ridiculuous in most UIs.
+         * - report just the alias.  Remarkably inconvenient to write
+         *   UI code for!
+         * - report just the real name.  Ugly if the UI doesn't prettify
+         *   names via the name parts.
+         */
+#if 1
+        /* If this file is an alias for a track in the same directory then we
+         * skip it */
+        struct kvp *t = kvp_urldecode(d.data, d.size);
+        const char *alias_target = kvp_get(t, "_alias_for");
+        if(!(alias_target
+             && !strcmp(d_dirname(alias_target),
+                        d_dirname(track))))
+         if(track_matches(dl, k.data, k.size, re))
+           vector_append(v, track);
+#else
        /* if this file has an alias in the same directory then we skip it */
        /* if this file has an alias in the same directory then we skip it */
+           char *alias;
         if((err = compute_alias(&alias, track, p, tid)))
           goto deadlocked;
         if(!(alias && !strcmp(d_dirname(alias), d_dirname(track))))
          if(track_matches(dl, k.data, k.size, re))
            vector_append(v, track);
         if((err = compute_alias(&alias, track, p, tid)))
           goto deadlocked;
         if(!(alias && !strcmp(d_dirname(alias), d_dirname(track))))
          if(track_matches(dl, k.data, k.size, re))
            vector_append(v, track);
+#endif
       }
     }
     err = cursor->c_get(cursor, &k, &d, DB_NEXT);
       }
     }
     err = cursor->c_get(cursor, &k, &d, DB_NEXT);
@@ -2071,15 +2118,16 @@ char **trackdb_search(char **wordlist, int nwordlist, int *ntracks) {
 int trackdb_scan(const char *root,
                  int (*callback)(const char *track,
                                  struct kvp *data,
 int trackdb_scan(const char *root,
                  int (*callback)(const char *track,
                                  struct kvp *data,
+                                 struct kvp *prefs,
                                  void *u,
                                  DB_TXN *tid),
                  void *u,
                  DB_TXN *tid) {
   DBC *cursor;
                                  void *u,
                                  DB_TXN *tid),
                  void *u,
                  DB_TXN *tid) {
   DBC *cursor;
-  DBT k, d;
+  DBT k, d, pd;
   const size_t root_len = root ? strlen(root) : 0;
   int err, cberr;
   const size_t root_len = root ? strlen(root) : 0;
   int err, cberr;
-  struct kvp *data;
+  struct kvp *data, *prefs;
   const char *track;
 
   cursor = trackdb_opencursor(trackdb_tracksdb, tid);
   const char *track;
 
   cursor = trackdb_opencursor(trackdb_tracksdb, tid);
@@ -2099,10 +2147,33 @@ int trackdb_scan(const char *root,
       data = kvp_urldecode(d.data, d.size);
       if(kvp_get(data, "_path")) {
         track = xstrndup(k.data, k.size);
       data = kvp_urldecode(d.data, d.size);
       if(kvp_get(data, "_path")) {
         track = xstrndup(k.data, k.size);
+        /* TODO: trackdb_prefsdb is currently a DB_HASH.  This means we have to
+         * do a lookup for every single track.  In fact this is quite quick:
+         * with around 10,000 tracks a complete scan is around 0.3s on my
+         * 2.2GHz Athlon.  However, if it were a DB_BTREE, we could do the same
+         * linear walk as we already do over trackdb_tracksdb, and probably get
+         * even higher performance.  That would require upgrade logic to
+         * translate old databases though.
+         */
+        switch(err = trackdb_prefsdb->get(trackdb_prefsdb, tid, &k,
+                                          prepare_data(&pd), 0)) {
+        case 0:
+          prefs = kvp_urldecode(pd.data, pd.size);
+          break;
+        case DB_NOTFOUND:
+          prefs = 0;
+          break;
+        case DB_LOCK_DEADLOCK:
+          error(0, "getting prefs: %s", db_strerror(err));
+          trackdb_closecursor(cursor);
+          return err;
+        default:
+          fatal(0, "getting prefs: %s", db_strerror(err));
+        }
         /* Advance to the next track before the callback so that the callback
          * may safely delete the track */
         err = cursor->c_get(cursor, &k, &d, DB_NEXT);
         /* Advance to the next track before the callback so that the callback
          * may safely delete the track */
         err = cursor->c_get(cursor, &k, &d, DB_NEXT);
-        if((cberr = callback(track, data, u, tid))) {
+        if((cberr = callback(track, data, prefs, u, tid))) {
           err = cberr;
           break;
         }
           err = cberr;
           break;
         }
@@ -2128,6 +2199,28 @@ int trackdb_scan(const char *root,
 
 /* trackdb_rescan ************************************************************/
 
 
 /* trackdb_rescan ************************************************************/
 
+/** @brief Node in the list of rescan-complete callbacks */
+struct rescanned_node {
+  struct rescanned_node *next;
+  void (*rescanned)(void *ru);
+  void *ru;
+};
+
+/** @brief List of rescan-complete callbacks */
+static struct rescanned_node *rescanned_list;
+
+/** @brief Add a rescan completion callback */
+void trackdb_add_rescanned(void (*rescanned)(void *ru),
+                           void *ru) {
+  if(rescanned) {
+    struct rescanned_node *n = xmalloc(sizeof *n);
+    n->next = rescanned_list;
+    n->rescanned = rescanned;
+    n->ru = ru;
+    rescanned_list = n;
+  }
+}
+
 /* called when the rescanner terminates */
 static int reap_rescan(ev_source attribute((unused)) *ev,
                        pid_t pid,
 /* called when the rescanner terminates */
 static int reap_rescan(ev_source attribute((unused)) *ev,
                        pid_t pid,
@@ -2142,17 +2235,37 @@ static int reap_rescan(ev_source attribute((unused)) *ev,
   /* Our cache of file lookups is out of date now */
   cache_clean(&cache_files_type);
   eventlog("rescanned", (char *)0);
   /* Our cache of file lookups is out of date now */
   cache_clean(&cache_files_type);
   eventlog("rescanned", (char *)0);
+  /* Call rescanned callbacks */
+  while(rescanned_list) {
+    void (*rescanned)(void *u_) = rescanned_list->rescanned;
+    void *ru = rescanned_list->ru;
+
+    rescanned_list = rescanned_list->next;
+    rescanned(ru);
+  }
   return 0;
 }
 
   return 0;
 }
 
-void trackdb_rescan(ev_source *ev) {
+/** @brief Initiate a rescan
+ * @param ev Event loop or 0 to block
+ * @param recheck 1 to recheck lengths, 0 to suppress check
+ * @param rescanned Called on completion (if not NULL)
+ * @param ru Passed to @p rescanned
+ */
+void trackdb_rescan(ev_source *ev, int recheck,
+                    void (*rescanned)(void *ru),
+                    void *ru) {
   int w;
 
   if(rescan_pid != -1) {
   int w;
 
   if(rescan_pid != -1) {
+    trackdb_add_rescanned(rescanned, ru);
     error(0, "rescan already underway");
     return;
   }
     error(0, "rescan already underway");
     return;
   }
-  rescan_pid = subprogram(ev, RESCAN, -1);
+  rescan_pid = subprogram(ev, -1, RESCAN,
+                          recheck ? "--check" : "--no-check",
+                          (char *)0);
+  trackdb_add_rescanned(rescanned, ru);
   if(ev) {
     ev_child(ev, rescan_pid, 0, reap_rescan, 0);
     D(("started rescanner"));
   if(ev) {
     ev_child(ev, rescan_pid, 0, reap_rescan, 0);
     D(("started rescanner"));
@@ -2172,6 +2285,11 @@ int trackdb_rescan_cancel(void) {
   return 1;
 }
 
   return 1;
 }
 
+/** @brief Return true if a rescan is underway */
+int trackdb_rescan_underway(void) {
+  return rescan_pid != -1;
+}
+
 /* global prefs **************************************************************/
 
 void trackdb_set_global(const char *name,
 /* global prefs **************************************************************/
 
 void trackdb_set_global(const char *name,
@@ -2203,8 +2321,6 @@ void trackdb_set_global(const char *name,
          who ? who : "-");
     eventlog("state", state ? "enable_random" : "disable_random", (char *)0);
   }
          who ? who : "-");
     eventlog("state", state ? "enable_random" : "disable_random", (char *)0);
   }
-  if(!strcmp(name, "required-tags"))
-    reqtracks = 0;
 }
 
 int trackdb_set_global_tid(const char *name,
 }
 
 int trackdb_set_global_tid(const char *name,
@@ -2308,12 +2424,24 @@ static char **trackdb_new_tid(int *ntracksp,
   DBT k, d;
   int err = 0;
   struct vector tracks[1];
   DBT k, d;
   int err = 0;
   struct vector tracks[1];
+  hash *h = hash_new(1);
 
   vector_init(tracks);
   c = trackdb_opencursor(trackdb_noticeddb, tid);
   while((maxtracks <= 0 || tracks->nvec < maxtracks)
 
   vector_init(tracks);
   c = trackdb_opencursor(trackdb_noticeddb, tid);
   while((maxtracks <= 0 || tracks->nvec < maxtracks)
-        && !(err = c->c_get(c, prepare_data(&k), prepare_data(&d), DB_PREV)))
-    vector_append(tracks, xstrndup(d.data, d.size));
+        && !(err = c->c_get(c, prepare_data(&k), prepare_data(&d), DB_PREV))) {
+    char *const track = xstrndup(d.data, d.size);
+    /* Don't add any track more than once */
+    if(hash_add(h, track, "", HASH_INSERT))
+      continue;
+    /* See if the track still exists */
+    err = trackdb_getdata(trackdb_tracksdb, track, NULL/*kp*/, tid);
+    if(err == DB_NOTFOUND)
+      continue;                         /* It doesn't, skip it */
+    if(err == DB_LOCK_DEADLOCK)
+      break;                            /* Doh */
+    vector_append(tracks, track);
+  }
   switch(err) {
   case 0:                               /* hit maxtracks */
   case DB_NOTFOUND:                     /* ran out of tracks */
   switch(err) {
   case 0:                               /* hit maxtracks */
   case DB_NOTFOUND:                     /* ran out of tracks */
@@ -2420,22 +2548,56 @@ static int trusted(const char *user) {
   return n < config->trust.n;
 }
 
   return n < config->trust.n;
 }
 
+/** @brief Return non-zero for a valid username
+ *
+ * Currently we only allow the letters and digits in ASCII.  We could be more
+ * liberal than this but it is a nice simple test.  It is critical that
+ * semicolons are never allowed.
+ */
+static int valid_username(const char *user) {
+  if(!*user)
+    return 0;
+  while(*user) {
+    const uint8_t c = *user++;
+    /* For now we are very strict */
+    if((c >= 'a' && c <= 'z')
+       || (c >= 'A' && c <= 'Z')
+       || (c >= '0' && c <= '9'))
+      /* ok */;
+    else
+      return 0;
+  }
+  return 1;
+}
+
 /** @brief Add a user */
 static int create_user(const char *user,
                        const char *password,
                        const char *rights,
                        const char *email,
 /** @brief Add a user */
 static int create_user(const char *user,
                        const char *password,
                        const char *rights,
                        const char *email,
+                       const char *confirmation,
                        DB_TXN *tid,
                        uint32_t flags) {
   struct kvp *k = 0;
   char s[64];
 
                        DB_TXN *tid,
                        uint32_t flags) {
   struct kvp *k = 0;
   char s[64];
 
+  /* sanity check user */
+  if(!valid_username(user)) {
+    error(0, "invalid username '%s'", user);
+    return -1;
+  }
+  if(parse_rights(rights, 0, 1)) {
+    error(0, "invalid rights string");
+    return -1;
+  }
   /* data for this user */
   if(password)
     kvp_set(&k, "password", password);
   kvp_set(&k, "rights", rights);
   if(email)
     kvp_set(&k, "email", email);
   /* data for this user */
   if(password)
     kvp_set(&k, "password", password);
   kvp_set(&k, "rights", rights);
   if(email)
     kvp_set(&k, "email", email);
+  if(confirmation)
+    kvp_set(&k, "confirmation", confirmation);
   snprintf(s, sizeof s, "%jd", (intmax_t)time(0));
   kvp_set(&k, "created", s);
   return trackdb_putdata(trackdb_usersdb, user, k, tid, flags);
   snprintf(s, sizeof s, "%jd", (intmax_t)time(0));
   kvp_set(&k, "created", s);
   return trackdb_putdata(trackdb_usersdb, user, k, tid, flags);
@@ -2454,11 +2616,18 @@ static int one_old_user(const char *user, const char *password,
   /* pick rights */
   if(!strcmp(user, "root"))
     rights = "all";
   /* pick rights */
   if(!strcmp(user, "root"))
     rights = "all";
-  else if(trusted(user))
-    rights = rights_string(config->default_rights|RIGHT_ADMIN|RIGHT_RESCAN);
-  else
-    rights = rights_string(config->default_rights);
-  return create_user(user, password, rights, 0/*email*/, tid, DB_NOOVERWRITE);
+  else if(trusted(user)) {
+    rights_type r;
+
+    parse_rights(config->default_rights, &r, 1);
+    r &= ~(rights_type)(RIGHT_SCRATCH__MASK|RIGHT_MOVE__MASK|RIGHT_REMOVE__MASK);
+    r |= (RIGHT_ADMIN|RIGHT_RESCAN
+          |RIGHT_SCRATCH_ANY|RIGHT_MOVE_ANY|RIGHT_REMOVE_ANY);
+    rights = rights_string(r);
+  } else
+    rights = config->default_rights;
+  return create_user(user, password, rights, 0/*email*/, 0/*confirmation*/,
+                     tid, DB_NOOVERWRITE);
 }
 
 static int trackdb_old_users_tid(DB_TXN *tid) {
 }
 
 static int trackdb_old_users_tid(DB_TXN *tid) {
@@ -2501,8 +2670,9 @@ void trackdb_create_root(void) {
   gcry_randomize(pwbin, sizeof pwbin, GCRY_STRONG_RANDOM);
   pw = mime_to_base64(pwbin, sizeof pwbin);
   /* Create the root user if it does not exist */
   gcry_randomize(pwbin, sizeof pwbin, GCRY_STRONG_RANDOM);
   pw = mime_to_base64(pwbin, sizeof pwbin);
   /* Create the root user if it does not exist */
-  WITH_TRANSACTION(create_user("root", pw, "all", 0/*email*/, tid,
-                               DB_NOOVERWRITE));
+  WITH_TRANSACTION(create_user("root", pw, "all",
+                               0/*email*/, 0/*confirmation*/,
+                               tid, DB_NOOVERWRITE));
   if(e == 0)
     info("created root user");
 }
   if(e == 0)
     info("created root user");
 }
@@ -2531,34 +2701,36 @@ const char *trackdb_get_password(const char *user) {
  * @param user Username
  * @param password Password or NULL
  * @param rights Initial rights
  * @param user Username
  * @param password Password or NULL
  * @param rights Initial rights
- * @param email Email address
+ * @param email Email address or NULL
+ * @param confirmation Confirmation string or NULL
  * @return 0 on success, non-0 on error
  */
 int trackdb_adduser(const char *user,
                     const char *password,
  * @return 0 on success, non-0 on error
  */
 int trackdb_adduser(const char *user,
                     const char *password,
-                    rights_type rights,
-                    const char *email) {
+                    const char *rights,
+                    const char *email,
+                    const char *confirmation) {
   int e;
   int e;
-  const char *r = rights_string(rights);
 
 
-  WITH_TRANSACTION(create_user(user, password, r, email,
+  WITH_TRANSACTION(create_user(user, password, rights, email, confirmation,
                                tid, DB_NOOVERWRITE));
   if(e) {
                                tid, DB_NOOVERWRITE));
   if(e) {
-    error(0, "cannot created user '%s' because they already exist", user);
+    error(0, "cannot create user '%s' because they already exist", user);
     return -1;
   } else {
     if(email)
       info("created user '%s' with rights '%s' and email address '%s'",
     return -1;
   } else {
     if(email)
       info("created user '%s' with rights '%s' and email address '%s'",
-           user, r, email);
+           user, rights, email);
     else
     else
-      info("created user '%s' with rights '%s'", user, r);
+      info("created user '%s' with rights '%s'", user, rights);
+    eventlog("user_add", user, (char *)0);
     return 0;
   }
 }
 
 /** @brief Delete a user
  * @param user User to delete
     return 0;
   }
 }
 
 /** @brief Delete a user
  * @param user User to delete
- * @param 0 on success, non-0 if the user didn't exist anyway
+ * @return 0 on success, non-0 if the user didn't exist anyway
  */
 int trackdb_deluser(const char *user) {
   int e;
  */
 int trackdb_deluser(const char *user) {
   int e;
@@ -2569,6 +2741,7 @@ int trackdb_deluser(const char *user) {
     return -1;
   }
   info("deleted user '%s'", user);
     return -1;
   }
   info("deleted user '%s'", user);
+  eventlog("user_delete", user, (char *)0);
   return 0;
 }
 
   return 0;
 }
 
@@ -2624,15 +2797,18 @@ int trackdb_edituserinfo(const char *user,
       error(0, "cannot remove 'rights' key from user '%s'", user);
       return -1;
     }
       error(0, "cannot remove 'rights' key from user '%s'", user);
       return -1;
     }
-    if(parse_rights(value, 0)) {
+    if(parse_rights(value, 0, 1)) {
       error(0, "invalid rights string");
       return -1;
     }
   } else if(!strcmp(key, "email")) {
       error(0, "invalid rights string");
       return -1;
     }
   } else if(!strcmp(key, "email")) {
-    if(!strchr(value, '@')) {
-      error(0, "invalid email address '%s' for user '%s'", user, value);
-      return -1;
-    }
+    if(*value) {
+      if(!email_valid(value)) {
+        error(0, "invalid email address '%s' for user '%s'", value, user);
+        return -1;
+      }
+    } else
+      value = 0;                        /* no email -> remove key */
   } else if(!strcmp(key, "created")) {
     error(0, "cannot change creation date for user '%s'", user);
     return -1;
   } else if(!strcmp(key, "created")) {
     error(0, "cannot change creation date for user '%s'", user);
     return -1;
@@ -2645,8 +2821,10 @@ int trackdb_edituserinfo(const char *user,
   if(e) {
     error(0, "unknown user '%s'", user);
     return -1;
   if(e) {
     error(0, "unknown user '%s'", user);
     return -1;
-  } else
+  } else {
+    eventlog("user_edit", user, key, (char *)0);
     return 0;
     return 0;
+  }
 }
 
 /** @brief List all users
 }
 
 /** @brief List all users
@@ -2661,6 +2839,67 @@ char **trackdb_listusers(void) {
   return v->vec;
 }
 
   return v->vec;
 }
 
+/** @brief Confirm a user registration
+ * @param user Username
+ * @param confirmation Confirmation string
+ * @param rightsp Where to put user rights
+ * @param tid Transaction ID
+ * @return 0 on success, non-0 on error
+ */
+static int trackdb_confirm_tid(const char *user, const char *confirmation,
+                               rights_type *rightsp,
+                               DB_TXN *tid) {
+  const char *stored_confirmation;
+  struct kvp *k;
+  int e;
+  const char *rights;
+  
+  if((e = trackdb_getdata(trackdb_usersdb, user, &k, tid)))
+    return e;
+  if(!(stored_confirmation = kvp_get(k, "confirmation"))) {
+    error(0, "already confirmed user '%s'", user);
+    /* DB claims -30,800 to -30,999 so -1 should be a safe bet */
+    return -1;
+  }
+  if(!(rights = kvp_get(k, "rights"))) {
+    error(0, "no rights for unconfirmed user '%s'", user);
+    return -1;
+  }
+  if(parse_rights(rights, rightsp, 1))
+    return -1;
+  if(strcmp(confirmation, stored_confirmation)) {
+    error(0, "wrong confirmation string for user '%s'", user);
+    return -1;
+  }
+  /* 'sall good */
+  kvp_set(&k, "confirmation", 0);
+  return trackdb_putdata(trackdb_usersdb, user, k, tid, 0);
+}
+
+/** @brief Confirm a user registration
+ * @param user Username
+ * @param confirmation Confirmation string
+ * @param rightsp Where to put user rights
+ * @return 0 on success, non-0 on error
+ */
+int trackdb_confirm(const char *user, const char *confirmation,
+                    rights_type *rightsp) {
+  int e;
+
+  WITH_TRANSACTION(trackdb_confirm_tid(user, confirmation, rightsp, tid));
+  switch(e) {
+  case 0:
+    info("registration confirmed for user '%s'", user);
+    eventlog("user_confirm", user, (char *)0);
+    return 0;
+  case DB_NOTFOUND:
+    error(0, "confirmation for nonexistent user '%s'", user);
+    return -1;
+  default:                              /* already reported */
+    return -1;
+  }
+}
+
 /*
 Local Variables:
 c-basic-offset:2
 /*
 Local Variables:
 c-basic-offset:2