Chr*_*itt 5 ruby-on-rails pundit
我最近一直在阅读pundit gem的自述文件,并注意到他们从未在控制器中授权索引视图.(相反,他们使用范围).
他们给出了很好的推理,因为索引页面通常包含元素列表,通过控制生成的列表,您可以有效地控制页面上的数据.但是,偶尔也可能希望阻止访问索引页面本身.(而不是允许访问空白索引页.)我的问题是,执行此操作的正确方法是什么?
到目前为止,我已经提出了几种可能性,并且有以下几个类:
MyModelMyModelsControllerMyModelPolicy在我的控制器的索引方法中,解决此问题的推荐方法如下:
def index
@my_models = policy_Scope(MyModel)
end
然后,这将允许访问索引页面,但会将结果过滤到该用户可以看到的内容.(EG没有结果无法访问.)
但是为了阻止对索引页面本身的访问,我得到了两种不同的可能性:
def index
@my_models = policy_Scope(MyModel)
authorize @my_models
end
要么
def index
@my_models = policy_Scope(MyModel)
authorize MyModel
end
哪一个是正确的路径,还是有一个不同的替代选择?
class MyModelPolicy < ApplicationPolicy
class Scope < Scope
def resolve
if user.admin?
scope.all
else
raise Pundit::NotAuthorizedError, 'not allowed to view this action'
end
end
end
end
小智 6
政策,
class MyModelPolicy < ApplicationPolicy
class Scope < Scope
def resolve
if user.admin?
scope.all
else
scope.where(user: user)
end
end
end
def index?
user.admin?
end
end
控制器,
def index
@my_models = policy_scope(MyModel)
authorize MyModel
end
| 归档时间: |
|
| 查看次数: |
2410 次 |
| 最近记录: |