假设我有一个Users场景,每个用户都可以创建自己的Projects。
我正在尝试将我的Rails控制器的Show操作限制为仅允许管理员或项目所有者能够执行Show操作。
我面临的问题是,或许我对如何在Pundit中使用Scopes有误解。
我的Show操作如下所示:
def show
project = policy_scope(Project).find_by({id: project_params[:id]})
if project
render json: project
else
render json: { error: "Not found" }, status: :not_found
end
end
我的Pundit Scope类看起来像这样:
class Scope < Scope
def resolve
if @user.admin?
scope.all
else
# obviously, if non-matching user id, an ActiveRelation of
# empty array would be returned and subsequent find_by(...)
# would fail causing my controller's 'else' to execute
# returning 404 instead of 403
scope.where(user_id: @user.id)
end
end
end
在我的Rails测试中,我试图断言非项目所有者应该收到403禁止:
test "show project should return forbidden if non admin viewing other user's project" do
# "rex" here is not the owner of the project
get project_path(@project.id), headers: @rex_authorization_header
assert_response :forbidden
end
我的测试失败了。我收到了错误:
Failure:
ProjectsControllerTest#test_show_project_should_return_forbidden_if_non_admin_viewing_other_user's_project [/Users/zhang/App_Projects/LanceKit/Rails_Project/LanceKit/test/controllers/projects_controller_test.rb:40]:
Expected response to be a <403: forbidden>, but was a <404: Not Found>.
Expected: 403
Actual: 404
我觉得我没有正确使用Pundit。
我应该使用Pundit的authorize project而不是policy_scope(Project)...用Show行动吗?
我希望scope.where(...)能够检测到错误的用户ID,并返回一些错误,说明“您无权查看此资源”而不是返回结果。
答案 0 :(得分:2)
从我的测试结果向我指出,使用show操作的范围错误。
我的发现告诉我Pundit范围仅用于过滤一组数据以仅返回与条件匹配的数据,它不检查current_user是否是资源的所有者。 Pundit范围不会引发403 Forbidden错误。
换句话说,仅在show操作中使用范围设定会导致语义错误,例如this project with id 3 does not exist in the database而不是you are not authorized to view this project because it belongs to a different user。
我自己的摘要:
policy_scope进行index操作authorize用于show,create,update,delete 如果您不是资源所有者并尝试访问某些时髦的多元资源路径,请使用authorize和policy_scope
get "/user/1/projects" => "Project.index"
如果你想检查用户是否说'&#34;项目经理&#34;或&#34;合作者&#34;谁被允许查看您的项目。在这种情况下,您可能需要使用额外的elsif子句修改范围代码。
关于我的上述问题,我修改了我的项目,以便在authorize操作中使用show:
def show
project = Project.find_by({id: project_params[:id]})
authorize project
if project
render json: project
else
render json: { error: "Not found" }, status: :not_found
end
end
这会引发我的测试期望的预期403 Forbidden错误,从而我的测试通过了。
答案 1 :(得分:0)
Pundits docs regarding scopes声明您确实可以将它们用于show动作:
def index
@posts = policy_scope(Post)
end
def show
@post = policy_scope(Post).find(params[:id])
end
如果用户(手动)使用实例的id参数打开一个URL,而该用户不能查看,则仅使用authorize可能是不够的。
为了避免出现RecordNotFound错误,我使用了recommended NilClassPolicy:
class NilClassPolicy < ApplicationPolicy
class Scope < Scope
def resolve
raise Pundit::NotDefinedError, "Cannot scope NilClass"
end
end
def show?
false # Nobody can see nothing
end
end