我使用STI向我的Spree :: User模型类添加了继承。我有一个:type列,可以是(Spree :: Guest,Spree :: Writer或Spree :: Reader)。
在管理员方面的身份验证中,我只想验证编写者和读者。什么是解决这个问题的最佳选择?
我尝试将创建操作覆盖为:
def create
authenticate_spree_user!
if spree_user_signed_in? && (spree_current_user.role?(:writer) || spree_current_user.role?(:reader))
respond_to do |format|
format.html {
flash[:success] = Spree.t(:logged_in_succesfully)
redirect_back_or_default(after_sign_in_path_for(spree_current_user))
}
format.js {
user = resource.record
render :json => {:ship_address => user.ship_address, :bill_address => user.bill_address}.to_json
}
end
else
flash.now[:error] = t('devise.failure.invalid')
render :new
end
end
在这种情况下,当尝试对类型为:guest的用户进行身份验证时,它会重定向到具有无效失败消息的新操作(ok),但不知何故用户获得了身份验证(nok)。
答案 0 :(得分:1)
我不认为这是解决问题的好方法,控制器应该只是一个控制器。我宁愿这样走:
Spree使用cancancan(或旧版分支中的cancan)进行授权和how Spree implements that。我不知道为什么你想要那个STI解决方案 - 我只是为此创建新的自定义Spree::Role但正如我所说,我不知道你为什么选择STI方式 - 这应该也可以正常工作。
无论如何,您可以为该能力文件添加装饰器,并对user.is_a? Spree::Guest等内容进行额外检查,或者通过register_ability注册新功能 - 类似this。
第三个链接最重要的部分(如果它已经关闭):
# create a file under app/models (or lib/) to define your abilities (in this example I protect only the HostAppCoolPage model):
Spree::Ability.register_ability MyAppAbility
class MyAppAbility
include CanCan::Ability
def initialize(user)
if user.has_role?('admin')
can manage, :host_app_cool_pages
end
end
end
就个人而言,我会选择装饰选项(代码似乎有点不清楚,但在确定谁可以管理什么时更清洁 - 记住abilities precedence)但这取决于你。如果您有任何具体问题可以随时提出,我会帮助您。
编辑:所以如果你想为某些用户禁用身份验证,可能只是利用现有的Devise方法?这样的事情(在user模型中):
def active_for_authentication?
super && self.am_i_not_a_guest? # check here if user is a Guest or not
end
def inactive_message
self.am_i_not_a_guest? ? Spree.t('devise.failure.invalid') : super # just make sure you get proper messages if you are using that module in your app
end