2

我正在使用Devise 和 CanCan来管理用户和用户权限。我想要的是:普通用户应该能够更新自己的帖子。最重要的模型称为活动。

在我为普通会员提供的能力模型中:

elsif user.role? :Member
   can :read, :all
   can :create, :all
   can :manage, Activity, :user_id=>user.id

(感谢 Yuriy Goldshtrakh 提供第三行的语法)

在活动的索引视图中,我有:

<% if can? :update, activity  %>
<br />
<%= link_to 'Update', edit_activity_path(activity) %>
<% end %>

<% if can? :delete, activity  %>
<%= link_to 'Delete', activity, :confirm => 'Really?', :method => :delete %>

<% end %>

这有效:它只显示更新和删除链接,如果活动是由当前成员创建的。

但是,如果成员更新活动,则不会保存更改,并且不会将成员发送回活动 - 因为他/她应该在成功更新之后。

这是活动控制器中的更新操作:

  # PUT /activities/1.xml

定义更新

authorize! :update, @activity

@activity = Activity.find(params[:id])

respond_to do |format|
  if @activity.update_attributes(params[:activity])
    format.html { redirect_to(@activity, :notice => 'Activity was successfully updated.') }
    format.xml  { head :ok }
  else
    format.html { render :action => "edit" }
    format.xml  { render :xml => @activity.errors, :status => :unprocessable_entity }
  end
end

结尾

问题是:为什么活动没有正确更新?我很感激所有的想法!

4

3 回答 3

3

交换第 1 行和第 3 行ActivitiesController#update

def update
  @activity = Activity.find(params[:id])

  authorize! :update, @activity
  ...
end

您还可以使用Cancan 的首选方式load_and_authorize_resource

于 2012-05-04T13:51:58.050 回答
1

如果您的帖子和评论属于该用户,您可以这样做

can :manage, [Post,Comment], :user_id=>user.id
于 2012-05-02T18:42:33.780 回答
0

例如能力:

if user.role?(:author)
        can :create, Article
        can :update, Article do |article|
          article.try(:user) == user
        end
      end

尝试使用本教程:Railscasts CanCan 也许有帮助

于 2012-05-04T14:16:56.090 回答