我有一个Rails应用程序,它有一个控制器,没有用于处理报告的模型/对象:
# reports_controller.rb
class ReportsController < ApplicationController
authorize_resource :class => false
def index
end
def report_title
# etc.
end
# etc.
end
用户对象可以具有管理员、普通用户或查看器的角色。管理员可以做任何事情,普通用户有一系列规则,查看者不能对应用程序的任何对象做任何事,但他们可以查看所有报告。
# ability.rb
def initialize(user)
if user.admin?
can :manage, :all
elsif user.normal?
# stuff according to business rules...
elsif user.viewer?
can [:index, :report_title, ...], :report
end
end
这按预期工作(因为所有其他控制器都有load_and_authorize_resource),但我如何在ability.rb中对这些线路进行单元测试?我可以在ability_spec.rb中与其他单元测试一起进行吗?还是必须仅通过请求进行测试?
顺便说一句,通过请求进行测试确实有效,我只是想知道是否也可以在这里进行测试。
# ability_spec.rb
RSpec.describe User do
describe "abilities" do
subject(:ability){ Ability.new(user) }
CRUD = [:create, :read, :update, :destroy]
ALL_MODELS = # a list of models
# ...
context "a report viewer" do
let(:user){ FactoryGirl.create(:user, :viewer) }
it 'cannot do anything with any objects' do
ALL_MODELS.each do |object|
CRUD.each do |action|
should_not be_able_to(action, object)
end
end
end
it 'can access all the report actions' do
# ???
end
end
end
end
是的,您应该能够在ability_spec.rb中测试这种能力。我认为添加以下行可能有效:
it 'can access all the report actions' do
should be_able_to :index, ReportsController
should be_able_to :report_title, ReportsController
end
如果设置authorize_resource :class => ReportsController而不是false,并使用can [:index, :report_title, ...], :ReportsController而不是符号:report。
我还没试过,所以让我知道它是否有效。