索引中的权威授权

时间:2016-08-25 14:34:56

标签: ruby-on-rails pundit

我最近一直在阅读专家宝石的README,并注意到他们从不在控制器中授权索引视图。 (相反,他们使用范围)。

他们给出了很好的推理,因为索引页面通常包含元素列表,通过控制生成的列表,您可以有效地控制页面上的数据。但是,偶尔也可能希望阻止访问索引页面本身。 (而不是允许访问空白的索引页。)我的问题是执行此操作的正确方法是什么?

到目前为止,我已经提出了几种可能性,并且有以下几个类:

  • 模型MyModel
  • 控制器MyModelsController
  • 政策MyModelPolicy

在我的控制器的索引方法中,解决此问题的推荐方法如下:

def index
  @my_models = policy_Scope(MyModel)
end

这将允许访问索引页面,但会将结果过滤到该用户可以看到的内容。 (E.G.没有结果无法访问。)

然而,为了阻止对索引页面本身的访问,我得出了两种不同的可能性:

def index
  @my_models = policy_Scope(MyModel)
  authorize @my_models
end


def index
  @my_models = policy_Scope(MyModel)
  authorize MyModel
end

其中哪一条是正确的路径,还是有不同的选择?

2 个答案:

答案 0 :(得分:3)

政策,

class MyModelPolicy < ApplicationPolicy
  class Scope < Scope
    def resolve
      if user.admin?
        scope.all
      else
        scope.where(user: user)
      end
    end
  end

  def index?
    user.admin?
  end
end

控制器,

def index
  @my_models = policy_scope(MyModel)
  authorize MyModel
end

答案 1 :(得分:1)

class MyModelPolicy < ApplicationPolicy
  class Scope < Scope
    def resolve
      if user.admin?
        scope.all
      else
        raise Pundit::NotAuthorizedError, 'not allowed to view this action'
      end
    end
  end
end
相关问题
最新问题