用户只能删除/编辑他/她发布的内容?不是所有帖子

时间:2013-07-13 00:01:58

标签: ruby-on-rails ruby-on-rails-3

如何制作,以便用户只能删除/编辑他/她发布的内容?而不是所有帖子?我当前的songs_controller只有授权,允许用户在登录后进行编辑,销毁和更新。问题是,所有用户都可以编辑所有帖子。也就是说,我怎样才能让用户只编辑他/她自己的帖子?并且无法与其他帖子访问该功能?

songs_controller.rb

class SongsController < ApplicationController
  before_action :set_song, only: [:show, :edit, :update, :destroy]

  before_filter :authorize, only: [:create ,:edit, :update, :destroy]


  # GET /Songs
  # GET /Songs.json
  def index
    @songs = Song.all
  end

  # GET /Songs/1
  # GET /Songs/1.json
  def show
  end

  # GET /Songs/new
  def new
    @song = Song.new
  end

  # GET /Songs/1/edit
  def edit
  end

  # POST /Songs
  # POST /Songs.json
  def create
    @song = Song.new(song_params)

    respond_to do |format|
      if @song.save
        format.html { redirect_to @song, notice: 'Song was successfully created.' }
        format.json { render action: 'show', status: :created, location: @song }
      else
        format.html { render action: 'new' }
        format.json { render json: @song.errors, status: :unprocessable_entity }
      end
    end
  end

  # PATCH/PUT /Songs/1
  # PATCH/PUT /Songs/1.json
  def update
    respond_to do |format|
      if @song.update(Song_params)
        format.html { redirect_to @song, notice: 'Song was successfully updated.' }
        format.json { head :no_content }
      else
        format.html { render action: 'edit' }
        format.json { render json: @song.errors, status: :unprocessable_entity }
      end
    end
  end

  # Song /Songs/1
  # Song /Songs/1.json
  def destroy
    @song.destroy
    respond_to do |format|
      format.html { redirect_to songs_url }
      format.json { head :no_content }
    end
  end

  private

    def set_song
       @song = Song.find(params[:id])
     end

     def song_params
       params.require(:song).permit(:title, :artist, :bio, :track)
     end
  end

2 个答案:

答案 0 :(得分:2)

您很可能拥有某种用户可以进行身份​​验证的用户模型。尝试在您的用户模型上添加has_many:songs关联。在Song模型上添加名为user_id的外键以及belongs_to:user。迁移。从current_user帮助程序中提取用户的id并执行以下操作:

@user = User.find(current_user.id)
@songs = @user.songs #will give you only the songs the user added

这是一个很好的参考指南: http://guides.rubyonrails.org/association_basics.html

答案 1 :(得分:1)

如果您只希望用户查看他们所发布的帖子,那么jbearden建议哪些方法可以正常运行,尽管它不会阻止某人从地址行手动访问删除或更新等错误。

如果您希望用户看到所有歌曲,但只能在自己的歌曲中选择删除等,那么您可能希望视图仅显示用户拥有的歌曲的编辑和删除链接(将使用jbearden的makign为用户提供歌曲关联的想法) - 这有助于UI,但仍然无法解决您的身份验证问题。

可以使用cancan gem来处理身份验证(请参阅railscasts - Ryan是gem的作者)。 cancan需要一些习惯来配置它,但是可以很好地控制给定用户是否可以查看,编辑,删除等对象(比如你的歌曲)。

祝你好运!