ruby-on-rails - 在Pundit中实现范围-6ren

ruby-on-rails - 在Pundit中实现范围

转载作者：行者123 更新时间：2023-12-04 13:27:06

25

4

我正在使用Pundit gem(带有Devise和Rolify)来限制基于登录用户角色的信息访问。

目前，我为用户模型定义了三个角色:Admin，Client Admin和Customer Admin。

用户属于客户。
客户has_many个用户。

当索引客户模型时，我已经成功实现了Pundit策略。管理员和客户端管理员可以查看所有客户。客户管理员只能看到他们的OWN记录。

问题出在我试图限制Customer Controller 的 show 方法时。管理员和客户端管理员可以查看所有客户。但是，客户管理员只能看到自己的记录。但就目前情况而言，客户管理员可以在URL中输入任何ID并查看任何客户记录。

我在范围界定上很模糊。我的理解是，政策方法(即索引？和显示？)将限制WHO可以执行这些操作，而范围界定方法将限制哪些记录。我在为上述情况编写正确的范围时遇到了麻烦。

这是客户 Controller :

class CustomersController < ApplicationController
  before_action :set_customer, only: [:show, :edit, :update, :destroy]
  after_action :verify_authorized

  # GET /customers
  # GET /customers.json
  def index
    @customers = policy_scope(Customer)
    authorize Customer
  end

  # GET /customers/1
  # GET /customers/1.json
  def show
    authorize @customer
  end

  # GET /customers/new
  def new
    @customer = Customer.new
    authorize @customer
  end

  # GET /customers/1/edit
  def edit
    authorize @customer
  end

  # POST /customers
  # POST /customers.json
  def create
    @customer = Customer.new(customer_params)
    authorize @customer

    respond_to do |format|
      if @customer.save
        format.html { redirect_to @customer, notice: 'Customer was successfully created.' }
        format.json { render :show, status: :created, location: @customer }
      else
        format.html { render :new }
        format.json { render json: @customer.errors, status: :unprocessable_entity }
      end
    end
  end

  # PATCH/PUT /customers/1
  # PATCH/PUT /customers/1.json
  def update
    authorize @customer
    respond_to do |format|
      if @customer.update(customer_params)
        format.html { redirect_to @customer, notice: 'Customer was successfully updated.' }
        format.json { render :show, status: :ok, location: @customer }
      else
        format.html { render :edit }
        format.json { render json: @customer.errors, status: :unprocessable_entity }
      end
    end
  end

  # DELETE /customers/1
  # DELETE /customers/1.json
  def destroy
    authorize @customer
    @customer.destroy
    respond_to do |format|
      format.html { redirect_to customers_url, notice: 'Customer was successfully destroyed.' }
      format.json { head :no_content }
    end
  end

  private
    # Use callbacks to share common setup or constraints between actions.
    def set_customer
      @customer = Customer.find(params[:id])
    end

    # Never trust parameters from the scary internet, only allow the white list through.
    def customer_params
      params.require(:customer).permit(:name, :parent_customer_id, :customer_type, :active, :currency)
    end
end

这是客户政策:

class CustomerPolicy < ApplicationPolicy

  def index?
    # Admins, ClientAdmins, and CustomerAdmins can index customers (see Scope class for filters)
    @user.has_role? :admin or @user.has_role? :client_admin or @user.has_role? :customer_admin
  end

  def show?
    # Admins, ClientAdmins, and CustomerAdmins can see any customer details
    @user.has_role? :admin or @user.has_role? :client_admin or @user.has_role? :customer_admin
  end

  def update?
    # Only Admins and ClientAdmins can update customer details
    @user.has_role? :admin  or @user.has_role? :client_admin
  end

  def destroy?
    @user.has_role? :admin or @user.has_role? :client_admin
  end

  class Scope < Struct.new(:user, :scope)
    def resolve
      if (user.has_role? :admin or user.has_role? :client_admin)
        # Admins and ClientAdmins can see all Customers
        scope.where(:parent_id => nil)
      elsif user.has_role? :customer_admin
        # Customer Admins can only see their own Customer
        scope.where(:id => user.customer) # THIS DOES NOT APPEAR TO GET INVOKED BY THE SHOW METHOD OF THE CONTROLLER
      end
    end    

    def show?
      # NOT SURE WHAT TO PUT IN HERE
    end
  end
end

成功!!感谢railscard给我的领先优势，诀窍是修改演出吗？客户策略文件中的方法如下所示:

  def show?
    # Admins, ClientAdmins, and CustomerAdmins can see any customer details
    # Students cannot see customer details

    return true if user.has_role?(:admin) || user.has_role?(:client_admin)
    return true if user.customer_id == @record.id && user.has_role?(:customer_admin)
    false
  end

请注意，我必须使用@record实例变量，因为那是应用程序策略类用来引用authorize方法传递的记录的方式。

谢谢!!

最佳答案

我认为您不需要限制show操作访问的范围。

def show?
  return true if user.has_role? :admin || user.has_role? :client_admin
  return true if user.customer_id == customer.id && user.has_role? :customer_admin
  false
end

Pundit范围通常用于获取用户有权访问的记录列表。如果是 show方法(或 Controller 中的其他任何方法，在其中调用 authorize)，Pundit会使用当前用户和给定的客户实例化策略类，然后简单地调用 show?方法来检查用户权限，即 CustomerPolicy.new(current_user, @customer).show?

关于ruby-on-rails - 在Pundit中实现范围，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/24616608/

25

4

0

文章推荐： haskell - 函数的并行声明是个好主意吗？

文章推荐： npm - 从 Bower(已停产)改为使用 Yarn/Npm(.Net Core MVC)VS2017

文章推荐： button - 如何在handsontable中的单元格内添加自定义按钮？

ruby-on-rails - rails : What is `sanitize` in Rails?
sanitize 是什么意思在 Rails 中是什么意思？我正在阅读 CanCanCan 的文档.它说: When using strong_parameters or Rails 4+, you
ruby-on-rails - Rails on Rails 将其提升到一个新的水平
在过去的几个月里，我感觉自己对 Ruby on Rails (RoR) 开发的了解达到了极限。我为大/小客户和 friend /爱好项目开发了大大小小的应用程序。我知道如何开发这些应用程序，但开始感觉
ruby-on-rails - rails : How do I make my rails project a Hexagonal rails project?
我昨天参加了一个关于扩展 Rails 的聚会，其中一个主题是 Hexagonal Rails。然而，我只做了一年的 Rails，对 MVC 结构非常满意(也许太舒服了)，所以我不太了解适配器和消息队列
ruby-on-rails - 改善缓慢的 Rails 启动时间(rails 控制台、rails 服务器)
我使用多个 Rails 应用程序，一些在 Rails 3.2/Ruby 2.0 上，一些在 Rails 2.3/Ruby 1.8.7 上。他们的共同点是，随着他们的成长和添加更多的依赖项/ gem
ruby-on-rails - rails 6 : Rails not defined
这个问题在这里已经有了答案: Using Rails-UJS in JS modules (Rails 6 with webpacker) (5 个答案) 关闭 3 年前。我正在尝试使用 UJS
ruby-on-rails - 我应该如何升级 Rails 应用程序以使用最新版本的 Rails
我正在开发一个当前使用 Rails 1.2 的 Rails 应用程序，所以我现在离最新的稳定版本(Rails 2.3)还有很长的路要走。我应该如何进行迁移到更新版本的 Rails 的过程？我应该一
ruby-on-rails - rails : backbone-on-rails gem-
尝试按照 Ryan Bates Backbone.js 教程构建抽奖应用程序，但我已经遇到了第一段代码的问题。在 application.js 的 init 函数中，他初始化了 Raffler 路由的
ruby-on-rails - rails : Or & and in Rails ActiveRecord where clause
我正在使用 Rails 3.2 并且我有一个数据库表，我想在其中找到符合以下条件的所有行: a = true and b = true and ( 0 true, :b =>
ruby-on-rails - Rails - 跳过子类的 rails 验证
我有一个用户类和一个联系人，其中联系人是用户的子类。这两个类都存储在用户表中。我的联系人可能有也可能没有电子邮件地址，而我的用户需要一个电子邮件地址(我的用户模型定义中有 validates_pre
ruby-on-rails - 脚本/rails 与 rails
我正在编写一个教程，我在其中演示了一些 rails 命令。在我的机器上 rails和 script/rails两者都同样有效。有“首选”形式吗？两者中哪一个更普遍？最佳答案当您运行 rails 时
ruby-on-rails - rails 4，elasticsearch-rails
我正在寻找有关通过我的应用程序前进的最佳方式的建议，这是我首次开始集成Elasticsearch。我是一名初学者，但是热衷于深入研究，以便原谅任何明显的错误! 我遵循了http://www.sitep
ruby-on-rails - Rails 真的很奇怪启动 Rails 服务器的问题
我刚刚用 Rails new 启动了一个新的 Rails 应用程序，将默认数据库设置更改为 PostgresSQL。我用 bin/rails s 启动服务器，结果很奇怪 2016-04-21 05:0
ruby-on-rails - Rails - 如果不是数组 rails，则将字符串转换为数组的好方法
我收到一个参数并希望它是这样的字符串: "abc,efg" 或者像这样的数组 ["abc","efg"] 在第一种情况下，我想将它转换成一个数组，什么是好的方法？这是我的想法 if params[:
ruby-on-rails - Rails 真的很奇怪启动 Rails 服务器的问题
我刚刚用 Rails new 启动了一个新的 Rails 应用程序，将默认数据库设置更改为 PostgresSQL。我用 bin/rails s 启动服务器，结果很奇怪 2016-04-21 05:0
ruby-on-rails - Rails - 如果不是数组 rails，则将字符串转换为数组的好方法
我收到一个参数并希望它是这样的字符串: "abc,efg" 或者像这样的数组 ["abc","efg"] 在第一种情况下，我想将它转换成一个数组，什么是好的方法？这是我的想法 if params[:
ruby-on-rails - Rails 4 railties 的可执行文件 "rails"与 rails 冲突
我有 Rails 4，这是我的默认版本(我仍然希望它是)。但我不想在我的电脑上添加 rails 3.2。在以下命令中:gem install rails -v 3.2.16 我有这个警告: railt
ruby-on-rails - rails + sheevaplug = rails 家庭开发服务器等等
您好，我想使用 Sheevaplug 构建一个“Rails Brick”来自 Marvell(操作系统是开箱即用的 Ubuntu，但您可以在其上安装其他发行版)。它将成为家庭服务器和静音、低成本(99
ruby-on-rails - Rails -- 从 Rails 控制台发送所有未接受的邀请
我需要能够从 Rails 控制台发送我的 Rails 应用程序的 Postgres 数据库中所有未接受的邀请。 (我有一个名为 Invitations 的表，其中包含一个名为 accepted 的 b
ruby-on-rails - Rspec rails on rails 验证
validate :cannot_modify_if_locked, on: :update def cannot_modify_if_locked if self.locked erro
ruby-on-rails - Rails 路由语法 - 从 rails 2 到 rails 3
我正在学习教程(学习 Rails 播客)，需要更改以下路由语法，以便它与 Rails 3.0 兼容。谁能帮忙？ map.view_page ':name', :controller => 'viewe

首页

博学

6Ren·AI

商城

ruby-on-rails - 在Pundit中实现范围