ruby-on-rails – 带有身份验证的Rails Web服务???用户登录??

Devise只会为您提供身份验证.这意味着您具有一定程度的确定性,即用户被识别并且他/她是谁/他是谁.根据这些信息,您可以使用Rails机制或其他Rails gem(即CanCan,Aegis,declarative_authorization)来授权用户和定义权限.

一个简单的方法是在您的控制器上使用before_filter,以确定,例如,BlogPost是否属于已登录的用户.

这是我的意思的一个简单例子：

class BlogPostsController < ApplicationController
  before_filter :is_user_allowed,:only => [:edit,:delete,:show]

  # default Rails generated RESTful methods here    

  def is_user_allowed
    if BlogPost.find(params[:id]).try(:user_id) != current_user.id
      redirect_to access_denied_page_path
    end
  end
end

is_user_allowed方法检索正在查询的BlogPost,并确定是否允许current_user通过比较用户ID来执行操作.如果不等式为真,那么它会重定向到我们臭名昭着的access_denied_pa??ge_path.

有关过滤器的更多信息,请参阅此Edge Guides article.

有关可以为您提供此功能的Rails宝石的更多信息(以及更多),请浏览Google并搜索rails授权.更重要的是,这里有一些应该提供一些见解的Railscast：

> 192 – Authorization with CanCan
> 188 – Declarative Authorization