我正在Rails应用程序中运行Pundit以获得授权。我似乎已经掌握了这一切的窍门,但我想知道如何将编辑或更新操作限制在某个字段。
例如,用户可以编辑其user.first_name、user.mobile或user.birthday等,但不能编辑其user.role。从本质上讲,我的逻辑是,让用户编辑任何装饰性的东西,但如果它是功能性的,就不编辑。
这些字段应该只能由具有"super_admin"角色的用户编辑(我在user.rb上使用以下方法设置了该角色)。
def super_admin?
role == "super admin"
end
def account?
role == "account"
end
def segment?
role == "segment"
end
def sales?
role == "sale"
end
def regional?
role == "regional"
end
def national?
role == "national"
end
def global?
role == "global"
end
我几乎有一个全新的user_policy.rb
文件,其中更新和编辑操作是默认的
def update?
false
end
def edit?
update?
end
也许我的想法完全错了,应该只包装一个user.super_admin?如果在用户显示页面上围绕角色字段的if语句,但如果我只是为了安全起见而使用这种策略,这感觉是错误的。
使用Pundit的permitted_attributes助手,该助手在gem的README页面上有描述:https://github.com/elabs/pundit
# app/policies/post_policy.rb
class PostPolicy < ApplicationPolicy
def permitted_attributes
if user.admin? || user.owner_of?(post)
[:title, :body, :tag_list]
else
[:tag_list]
end
end
end
# app/controllers/posts_controller.rb
class PostsController < ApplicationController
def update
@post = Post.find(params[:id])
if @post.update_attributes(post_params)
redirect_to @post
else
render :edit
end
end
private
def post_params
params.require(:post).permit(policy(@post).permitted_attributes)
end
end
在您的视图中,您可以根据用户的角色限制用户可以看到的内容。
用户视图
- if current_user.super_admin?
= f.select(:role, User.roles.keys.map {|role| [role.titleize.role]})
- else
= user.role
在策略中,您可以调用用户的角色,以确保他们能够进行编辑。
class UserPolicy
attr_reader :current_user, :model
def initialize(current_user, model)
@current_user = current_user
@user = model
end
def edit?
@current_user.super_admin || @current_user == @user
end
end