我知道有一些基于角色的授权gems / plugins用于rails来确定用户是否可以根据他们所处的角色来执行操作。但是,是否有基于所有权隐藏用户操作的最佳实践方法?即:用户的show / edit / destroy方法只有在当前登录的用户ID上执行时才可用。希望这是有道理的,但我已经写了一些方法来防止非所有者访问方法,它变得有点臃肿和丑陋。
答案 0 :(得分:1)
查看cancan's实施。
答案 1 :(得分:1)
我可以推荐restful_authentication(https://github.com/technoweenie/restful-authentication)。快速教程http://railscasts.com/episodes/67-restful-authentication