我在我的应用程序中使用CanCan。我正在测试我的控制器以查看它是否按预期运行。 在我的控制器中,手动检查权限:
authorize!(:read, @booking)
它引发了一个CanCan :: AccessDenied异常,它重定向到root_url,因为它在我的ApplicationController中定义。
我担心的是我正在测试它不应该将预订分配为变量:
expect(assigns[:booking]).to_not eq(booking)
然而,它确实分配了预订! 我想知道这个问题是否已知,未经授权的用户不应该收到有关他所要求的内容的任何内部信息(即使它正在重定向,他可以在响应中看到它)
提前致谢!
答案 0 :(得分:0)
回答我自己的问题。 CanCan和CanCanCan是完全安全的。分配是Rspec管理的东西(欢迎提供更多信息)。在回复中没有关于@booking的信息。