注册
登录
关联管理
Devise / Rolify / CanCan 2.0:防止用户改变用户的角色
返回
Devise / Rolify / CanCan 2.0:防止用户改变用户的角色
作者:
小狮子
发布时间:
2024-09-23 07:01:32 (18天前)
转自:
<div class =“excerpt”> 我正在使用Devise进行身份验证,使用Rolify进行角色验证 <span class =“result-highlight”> 管理 </跨度> 和CanCan 2.0进行授权。 我试图允许:admin角色更改用户的角色,但禁止所有其他用户访问锟斤::未授权执行|异常| redirect_to root_url,:alert =&gt; exception.message 结束 我故意离开了 <span class =“result-highlight”> 协会 </跨度> 在我的用户表格中: #_form.html.erb &lt;%= simple_form_for @user do | f锟 </DIV>
收藏
举报
5 条回复
0#
回复此人
回忆氵独奏♪
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 用你的角色包装角色 <code> users/_form.html.erb </code> 文件: </p> <P> 简单的形式: </p> <pre> <code> <% if can? :manage, User %> <%= f.association :roles, as: :check_boxes %> <% end %> </code> </pre> <P> 没有简单的形式: </p> <pre> <code> <% if can? :manage, User %> <div class="control-group"> <%= f.label :roles, class: "control-label" %> <div class="controls"> <% Role.all.each do |role| %> <%= check_box_tag "user[role_ids][]", role.id, @user.role_ids.include?(role.id) %> <%= role.name %><br /> <% end %> </div> </div> <% end %> </code> </pre> </DIV>
编辑
1#
回复此人
v-star*위위
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我最终使用了before_filter,如下所示: </p> <pre> <code> before_filter :prevent_unauthorized_role_setting, :only => [ :create, :update ] def prevent_unauthorized_role_setting if cannot? :manage_roles, current_user params[:user].delete_if { |k, v| k.to_sym == :role_ids } end end </code> </pre> <P> 同时遵循Zaid在ability.rb中的建议: </p> <pre> <code> cannot :manage_roles, :users if user.has_role? :admin can :manage_roles, :users end </code> </pre> <P> 此外,我放弃了Rolify并自己管理角色。 </p> </DIV>
编辑
2#
回复此人
甲基蓝
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我不确定我是否理解你希望主持人做什么,但这里是我使用的基本配置。我尽可能地适应你的情景。如果版主不需要个人权限,则删除内部子句。 </p> <pre> <code> class Ability include CanCan::Ability def initialize(user) # Create guest user aka. anonymous (not logged-in) when user is nil. user ||= User.new if user.has_role? :admin can :manage, :all elsif user.has_role? :moderator can :manage, User, user_id: user.id can :create, User can :read, :all else # Guest user aka. anonymous can :read, :all end end end </code> </pre> </DIV>
编辑
3#
回复此人
哇。
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 首先,你可能想要清理你的能力,因为目前似乎有些困惑。为了清楚起见,忽略其他所有内容,为密码修改指定自定义操作可能是个好主意。例如: </p> <pre> <code> # ability.rb def initialize(user) ... cannot :manage_roles, :user if user.has_role? :admin can :manage_roles, :user else end </code> </pre> <P> (你究竟想用其他规则来实现什么?目前如果看起来你只是让主持人阅读,编辑和删除自己,这是你想要的吗?) </p> <P> 您可能希望为任何无法对其执行任何操作的人隐藏或禁用表单的角色部分: </p> <pre> <code> #_form.html.erb <%= simple_form_for @user do |f| %> <%= f.association :roles, as: :check_boxes if can? :manage_roles, @user %> <%= f.button :submit %> <% end %> </code> </pre> <P> (注意 <code> can? </code> 只需要两个参数,即动作和对象/类。) </p> <P> 如果您想要更加安全,还可以在控制器中使用以下检查: </p> <pre> <code> # users_controller.rb def update @user = User.find(params[:id]) user_params = params[:user] if cannot? :manage_roles, @user user_params.delete_if { |k, v| k.to_sym == :role_ids } end if @user.update_without_password(user_params) redirect_to @user else render :action => "edit" end end </code> </pre> <P> (你需要仔细检查从params哈希中删除的正确密钥是什么,我假设它是 <code> :role_ids </code> 基于你的 <code> attr_accessible </code> ,但我真的不太了解simple_form。) </p> </DIV>
编辑
登录
后才能参与评论
