ruby-on-rails – 索引中的权威授权

发布时间：2020-12-17 03:10:32 所属栏目：百科来源：网络整理

导读：我最近一直在阅读pundit gem的自述文件,并注意到他们从未在控制器中授权索引视图. (相反,他们使用范围). 他们给出了很好的推理,因为索引页面通常包含元素列表,通过控制生成的列表,您可以有效地控制页面上的数据.但是,偶尔也可能希望阻止访问索引页面本身. (

我最近一直在阅读pundit gem的自述文件,并注意到他们从未在控制器中授权索引视图. (相反,他们使用范围).

他们给出了很好的推理,因为索引页面通常包含元素列表,通过控制生成的列表,您可以有效地控制页面上的数据.但是,偶尔也可能希望阻止访问索引页面本身. (而不是允许访问空白索引页.)我的问题是,执行此操作的正确方法是什么？

到目前为止,我已经提出了几种可能性,并且有以下几个类：

>模型MyModel
>一个控制器MyModelsController
>策略MyModelPolicy

在我的控制器的索引方法中,解决此问题的推荐方法如下：

def index
  @my_models = policy_Scope(MyModel)
end

然后,这将允许访问索引页面,但会将结果过滤到该用户可以看到的内容. (E.G.没有结果无法访问.)

但是为了阻止对索引页面本身的访问,我得到了两种不同的可能性：

def index
  @my_models = policy_Scope(MyModel)
  authorize @my_models
end

要么

def index
  @my_models = policy_Scope(MyModel)
  authorize MyModel
end

哪一个是正确的路径,还是有一个不同的替代选择？

解决方法

class MyModelPolicy < ApplicationPolicy
  class Scope < Scope
    def resolve
      if user.admin?
        scope.all
      else
        raise Pundit::NotAuthorizedError,'not allowed to view this action'
      end
    end
  end
end

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!