0

我从cancan开始,我想知道如何检查模型内的权限或实现我想要的最佳方法是:

在我的用户表单中,我有用于角色分配的复选框,但只有管理员可以这样做。如果可以,我已经用 <% 隐藏了 html 中的复选框?:assign_roles, @user %> 但恶意用户可能会编辑 html 并添加复选框并选择他想要的角色。

所以我决定使用 before_save 方法来检查 current_user 是否可以分配角色但我无权访问 can?模型内部的方法。

有没有更好的方法来进行此验证?

4

1 回答 1

0

你可以试试这个来归档你的目标。因此,您将能够在模型上下文中的模型中使用can?和方法。cannot?

于 2013-03-14T12:58:20.960 回答