在使用CanCan的应用程序中,我拥有用户可以查看和创建商店的权限,但我也希望他们只能编辑他们创建的商店。用户可以创建任意数量的商店,这些商店都应该可以由他们编辑。商店没有用户,所以当他们的用户没有Store
表user_id
时,我怎么能做到这一点?
康康舞:
class Ability
include CanCan::Ability
def initialize(user)
user ||= User.new
if user.role == "default"
can :read, Store
can :create, Store
end
end
end
由于用户将能够创建任意数量的商店,因此商店将属于用户。
您必须创建此关系。
所以,在User
模型中。
class User < ActiveRecord::Base
has_many :stores
end
而在Store
模型中。
class Store < ActiveRecord::Base
belongs_to :user
end
在ability.rb
文件中,只需输入以下内容:
class Ability
include CanCan::Ability
def initialize(user)
user ||= User.new # guest user (not logged in)
if user.role == 'default'
can :manage, Store , :user_id => user.id
end
end
end
我会在商店模型中添加以下内容:
has_one :created_by, :class => User
然后添加迁移以将created_by_id添加到应用商店类。
然后,您应该能够添加CanCan::Ability:
can :edit, Store, :created_by => user
我同意之前的海报,你必须在User
和Store
之间建立关系。这种关系可以是一对多(如Kleber S.所示),也可以是多对多(如果商店可以有多个用户)。
然后,处理访问控制的最佳方法是使用关联在控制器中。对于show
、edit
、update
、destroy
方法,您需要找到商店,给定登录用户,因此请执行如下操作:
class StoresController < ApplicationController
before_filter :find_store, only: [:show, :edit, :update, :destroy]
def show
end
def edit
end
def update
if @store.update_attributes(params[:store])
# redirect to show
else
# re-render edit, now with errors
end
end
# ...
private
def find_store
@store = current_user.stores.find(params[:id])
end
end
这样,关联将查找限制为仅那些通过外键连接到current_user
的存储。这是 RESTful Rails 资源对关联资源执行访问控制的标准方法。