Question

我正在编写一个使用普通旧Ruby对象（PORO）从控制器中抽象出授权逻辑的应用程序。

目前，我有一个名为NotAuthorized的自定义异常类，我在控制器级别rescue_from，但我很想知道： Rails 4是否已经出现异常以指示一项行动未经授权？我是否通过实施此例外来重新发明轮子？

澄清：raise AuthorizationException没有发生在控制器内部的任何地方，它发生在控制器外部完全解耦的PORO内部。该对象不了解HTTP，路由或控制器。

Answer 1

Rails似乎没有将例外映射到:unauthorized。

默认映射在activerecord/lib/active_record/railtie.rb：

中定义

config.action_dispatch.rescue_responses.merge!(
  'ActiveRecord::RecordNotFound'   => :not_found,
  'ActiveRecord::StaleObjectError' => :conflict,
  'ActiveRecord::RecordInvalid'    => :unprocessable_entity,
  'ActiveRecord::RecordNotSaved'   => :unprocessable_entity
)

和actionpack/lib/action_dispatch/middleware/exception_wrapper.rb：

@@rescue_responses.merge!(
  'ActionController::RoutingError'             => :not_found,
  'AbstractController::ActionNotFound'         => :not_found,
  'ActionController::MethodNotAllowed'         => :method_not_allowed,
  'ActionController::UnknownHttpMethod'        => :method_not_allowed,
  'ActionController::NotImplemented'           => :not_implemented,
  'ActionController::UnknownFormat'            => :not_acceptable,
  'ActionController::InvalidAuthenticityToken' => :unprocessable_entity,
  'ActionDispatch::ParamsParser::ParseError'   => :bad_request,
  'ActionController::BadRequest'               => :bad_request,
  'ActionController::ParameterMissing'         => :bad_request
)

您可以在应用程序的配置中添加自定义异常（或自定义Railtie）：

Your::Application.configure do

  config.action_dispatch.rescue_responses.merge!(
    'AuthorizationException' => :unauthorized
  )

  # ...

end

或者只使用rescue_from。

Answer 2

我猜测Rails没有引入此异常的原因是因为授权和身份验证不是Rails本机行为（当然不考虑basicauth）。

通常这些是NotAuthenticated的其他图书馆Devise的责任; Pundit，CanCanCan，Rollify for NotAuthorized）我实际上认为用ActionController等自定义异常来扩展ActionController::NotAuthorized可能是件坏事（因为就像我说它不是它的责任）

所以我通常解决这个问题的方法是我在ApplicationController上引入了自定义例外

class ApplicationController  < ActionController::Base
  NotAuthorized = Class.new(StandardError)
  # ...or if you really want it to be ActionController
  # NotAuthorized = Class.new(ActionController::RoutingError)

  rescue_from ActiveRecord::RecordNotFound do |exception|
    render_error_page(status: 404, text: 'Not found')
  end

  rescue_from ApplicationController::NotAuthorized do |exception|
    render_error_page(status: 403, text: 'Forbidden')
  end

  private

  def render_error_page(status:, text:, template: 'errors/routing')
    respond_to do |format|
      format.json { render json: {errors: [message: "#{status} #{text}"]}, status: status }
      format.html { render template: template, status: status, layout: false }
      format.any  { head status }
    end
  end
end

因此在我的控制器中我可以做到

class MyStuff < ApplicationController
  def index
    if current_user.admin?
      # ....
    else 
      raise ApplicationController::NotAuthorized
    end
  end
end

这清楚地定义了您期望引发此异常的层是您的应用程序层，而不是第三方库。

问题是库可以改变（是的，这也就是Rails）在第三方lib类上定义异常并在应用程序层中拯救它们是非常危险的，好像异常类的含义改变它会使你的{{1 }}

你可以阅读很多文章，其中人们关注Rails rescue_from - raise是现代的rescue_from（现在正在考虑一些专家的反模式），并且在某些方面它是是的，但只有当你正在拯救你没有完全控制权的例外情况时才会这样做!!

这意味着第三方例外（包括Devise和Rails到某一点）。如果您在应用程序中定义例外类，则不会在第三方上转发lib =＆gt;你有完全控制权=＆gt;如果没有这种反模式，你可以goto。

Rails是否带有“未授权”的例外？

2 个答案: