Rails CanCanCan/RoleModel/Canard:对用户的限制不起作用
Rails CanCanCan/RoleModel/Canard: limit to user doesn't work
设置:
- Rails5.1,Ruby2.4.0
- User.rb 从 Devise Extended 创建
CanCanCan 和 Canard(包括 RoleModel)
- Collection has_many 项(无效)
- 心愿单 has_many 心愿单(有效)
来自user.rb:
acts_as_user :roles => [ :guest, :user, :entity_admin, :admin, :super_admin ]
这些存储在用户 table 的 roles_mask 字段中(值映射到 1、2、4、8、16)。
在管理员和 Super_admin 级别上,一切正常,但它被定义为完全开放,所以这是预期的:
manage[:all]
在用户级别,仅限于用户拥有的项目:
# app/abilities/users.rb
Canard::Abilities.for(:user) do
can [:read], :all
can [:manage], Collection do |collection|
collection.try(:user) == @user
end
can [:manage], Item, :collection => { user_id: user.id }
can [:manage], Wishlist do |wishlist|
wishlist.try(:user) == @user
end
can [:manage], WishlistItem do |wi|
wi.try(:user) == @user
end
end
我也试过更简单的声明:
can [:manage], Collection, user_id: @user.id
无济于事。
在控制器中,相应地加载和授权:
# app/controllers/collections_controller.rb:6
load_and_authorize_resource :collection, except: [:index, :show, :create]
# app/controllers/items_controller.rb:6-7
load_and_authorize_resource :collection
load_and_authorize_resource :item, through: :collection
#app/controllers/collections_controller Finder method from before_action
private
def set_collection
@collection = @user.collections.friendly.find(params[:id]).decorate
end
所以我可以创建一个 collection,并且在控制台中它属于正确的用户。 但是,当我尝试对其进行任何编辑时遇到 CanCan 错误 ("You are not authorized to access this page.")。 添加项目无提示地失败。
我确定这是我的用户错误,但我终究无法弄明白。
看来用CanCanCan授权的对象已经被装饰过了。您可以使用以下内容在 ability.rb 中重载 can? 和 authorize!:
def can?(action, subject, *extra_args)
subject_arg = subject.is_a?(Draper::Decorator) ? subject.model : subject
super(action, subject_arg, *extra_args)
end
def authorize!(action, subject, *extra_args)
subject_arg = subject.is_a?(Draper::Decorator) ? subject.model : subject
super(action, subject_arg, *extra_args)
end
这将处理将装饰对象传递到能力检查中的任何情况。
设置:
- Rails5.1,Ruby2.4.0
- User.rb 从 Devise Extended 创建 CanCanCan 和 Canard(包括 RoleModel)
- Collection has_many 项(无效)
- 心愿单 has_many 心愿单(有效)
来自user.rb:
acts_as_user :roles => [ :guest, :user, :entity_admin, :admin, :super_admin ]
这些存储在用户 table 的 roles_mask 字段中(值映射到 1、2、4、8、16)。
在管理员和 Super_admin 级别上,一切正常,但它被定义为完全开放,所以这是预期的:
manage[:all]
在用户级别,仅限于用户拥有的项目:
# app/abilities/users.rb
Canard::Abilities.for(:user) do
can [:read], :all
can [:manage], Collection do |collection|
collection.try(:user) == @user
end
can [:manage], Item, :collection => { user_id: user.id }
can [:manage], Wishlist do |wishlist|
wishlist.try(:user) == @user
end
can [:manage], WishlistItem do |wi|
wi.try(:user) == @user
end
end
我也试过更简单的声明:
can [:manage], Collection, user_id: @user.id
无济于事。
在控制器中,相应地加载和授权:
# app/controllers/collections_controller.rb:6
load_and_authorize_resource :collection, except: [:index, :show, :create]
# app/controllers/items_controller.rb:6-7
load_and_authorize_resource :collection
load_and_authorize_resource :item, through: :collection
#app/controllers/collections_controller Finder method from before_action
private
def set_collection
@collection = @user.collections.friendly.find(params[:id]).decorate
end
所以我可以创建一个 collection,并且在控制台中它属于正确的用户。 但是,当我尝试对其进行任何编辑时遇到 CanCan 错误 ("You are not authorized to access this page.")。 添加项目无提示地失败。
我确定这是我的用户错误,但我终究无法弄明白。
看来用CanCanCan授权的对象已经被装饰过了。您可以使用以下内容在 ability.rb 中重载 can? 和 authorize!:
def can?(action, subject, *extra_args)
subject_arg = subject.is_a?(Draper::Decorator) ? subject.model : subject
super(action, subject_arg, *extra_args)
end
def authorize!(action, subject, *extra_args)
subject_arg = subject.is_a?(Draper::Decorator) ? subject.model : subject
super(action, subject_arg, *extra_args)
end
这将处理将装饰对象传递到能力检查中的任何情况。