我正在使用Rails 3和Devise进行用户身份验证。假设我有一个用户模型,启用了Devise,还有一个Product模型,以及一个User has_many Products。
在我的Products控制器中,我希望我的find方法由current_user限定,即。
@product = current_user.products.find(params[:id])
除非用户是管理员用户,即current_user.admin?
现在,我几乎在每个方法中运行该代码,这看起来很混乱:
if current_user.admin?
@product = Product.find(params[:id])
else
@product = current_user.products.find(params[:id])
end
有更优雅/标准的方法吗?
答案 0 :(得分:22)
我喜欢这样做:
class Product
scope :by_user, lambda { |user|
where(:owner_id => user.id) unless user.admin?
}
end
这允许您在控制器中编写以下内容:
Product.by_user(current_user).find(params[:id])
答案 1 :(得分:5)
如果你在很多控制器中运行这个代码,你应该把它变成一个过滤器,并在ApplicationController中定义一个方法:
before_filter :set_product, :except => [:destroy, :index]
def set_product
@product = current_user.admin? ? Product.find(params[:id]) : current_user.products.find(params[:id])
end
我不知道你用什么来确定用户是否是管理员(角色),但如果你查看CanCan,它有一个accessible_by范围接受一种能力(一个控制用户可以做什么和不能做什么的对象,并根据您自己编写的权限返回用户有权访问的记录。这可能真的是你想要的,但是剥离你的权限系统并替换它可能对你来说是可行的,也可能是不可行的。
答案 2 :(得分:2)
您可以在Product上添加一个类方法,并将用户作为参数发送。
class Product < ActiveRecord::Base
...
def self.for_user(user)
user.admin? ? where({}) : where(:owner_id => user.id)
end
然后你可以这样称呼它:
Product.for_user(current_user).find(params[:id])
PS:可能有更好的方法来执行where({})。