索引中的 Pundit 授权
Pundit authorization in index
我最近一直在阅读专家 gem 的自述文件,并注意到他们从未授权控制器中的索引视图。 (相反,他们使用范围)。
他们对此给出了很好的推理,因为索引页面通常包含一个元素列表,通过控制生成的列表,您可以有效地控制页面上的数据。然而,有时甚至可能希望阻止对索引页本身的访问。 (而不是允许访问空白索引页。)我的问题是执行此操作的正确方法是什么?
到目前为止,我已经想到了几种可能性,并且有以下 类:
- 模特
MyModel
- 一个控制器
MyModelsController
- 一项政策
MyModelPolicy
在我的控制器的索引方法中,推荐的解决方法如下:
def index
@my_models = policy_Scope(MyModel)
end
这将允许访问索引页面,但会将结果过滤为只有用户可以看到的内容。 (例如,没有访问权限没有结果。)
然而,为了阻止对索引页本身的访问,我想到了两种不同的可能性:
def index
@my_models = policy_Scope(MyModel)
authorize @my_models
end
或
def index
@my_models = policy_Scope(MyModel)
authorize MyModel
end
以下哪条路径是正确的,或者是否有其他首选路径?
政策,
class MyModelPolicy < ApplicationPolicy
class Scope < Scope
def resolve
if user.admin?
scope.all
else
scope.where(user: user)
end
end
end
def index?
user.admin?
end
end
控制器,
def index
@my_models = policy_scope(MyModel)
authorize MyModel
end
class MyModelPolicy < ApplicationPolicy
class Scope < Scope
def resolve
if user.admin?
scope.all
else
raise Pundit::NotAuthorizedError, 'not allowed to view this action'
end
end
end
end
我最近一直在阅读专家 gem 的自述文件,并注意到他们从未授权控制器中的索引视图。 (相反,他们使用范围)。
他们对此给出了很好的推理,因为索引页面通常包含一个元素列表,通过控制生成的列表,您可以有效地控制页面上的数据。然而,有时甚至可能希望阻止对索引页本身的访问。 (而不是允许访问空白索引页。)我的问题是执行此操作的正确方法是什么?
到目前为止,我已经想到了几种可能性,并且有以下 类:
- 模特
MyModel
- 一个控制器
MyModelsController
- 一项政策
MyModelPolicy
在我的控制器的索引方法中,推荐的解决方法如下:
def index
@my_models = policy_Scope(MyModel)
end
这将允许访问索引页面,但会将结果过滤为只有用户可以看到的内容。 (例如,没有访问权限没有结果。)
然而,为了阻止对索引页本身的访问,我想到了两种不同的可能性:
def index
@my_models = policy_Scope(MyModel)
authorize @my_models
end
或
def index
@my_models = policy_Scope(MyModel)
authorize MyModel
end
以下哪条路径是正确的,或者是否有其他首选路径?
政策,
class MyModelPolicy < ApplicationPolicy
class Scope < Scope
def resolve
if user.admin?
scope.all
else
scope.where(user: user)
end
end
end
def index?
user.admin?
end
end
控制器,
def index
@my_models = policy_scope(MyModel)
authorize MyModel
end
class MyModelPolicy < ApplicationPolicy
class Scope < Scope
def resolve
if user.admin?
scope.all
else
raise Pundit::NotAuthorizedError, 'not allowed to view this action'
end
end
end
end