2

Rails初学者在这里..

我有一个用户资源,我在其中实现了一个回调,该回调应该防止管理员用户删除自己。

before_filter :admin_no_delete,    only: :destroy

def admin_no_delete 
  admin_id = current_user.id if current_user.admin?
  redirect_to root_path if params[:id] == admin_id 
end

如果这对某些人来说看起来很熟悉,它来自 Michael Hartl 的 rails 教程,练习 #10 这里但我尝试以不同的方式进行操作,而不是按照他的建议。

我的(蹩脚的)测试失败了

    describe "deleting herself should not be permitted" do
      before do
        delete user_path(admin) 
      end
      it { should_not redirect_to(users_path) }
    end

但是为管理员用户公开一个删除链接只是为了测试并单击该链接,看起来回调实际上成功执行(重定向到root_path)。

我能够使用 jQuery 调用销毁操作来删除受回调保护的记录(使用 Web Inspector 的 javascript 控制台):

$.ajax({url: 'http://localhost:3000/users/104', type: 'DELETE', success: function(result){alert(result)} })

寻找有关如何防止 DELETE HTTP 请求在这种情况下成功的想法。还有关于如何正确测试这种情况的任何想法?

谢谢。

4

2 回答 2

0

您正在比较admin_id,一个整数与params[:id]。中的值params始终是字符串(或包含更多字符串的数组/哈希),因此比较总是会失败。

于 2012-04-04T13:00:43.200 回答
0

简单:params[:id]是一个字符串,admin_id而是一个 Fixnum。您可以按如下方式更改它,它应该可以工作:

redirect_to root_path if params[:id].to_i == admin_id

不过,您使用的逻辑对我来说似乎有点奇怪。如果仅用于一个操作,为什么要使用 before 过滤器,为什么要更改重定向?我认为逻辑应该直接在销毁动作中,看起来像这样:

def destroy
  unless current_user.admin? && current_user.id == params[:id].to_i
    User.find(params[:id]).destroy
    flash[:success] = "User destroyed."
  end
  redirect_to users_path
end
于 2012-04-04T13:01:02.040 回答