如何使用 active_model_serializers 序列化权限?我无权访问模型和序列化程序中current_user的can?方法。
问问题
3976 次
3 回答
23
首先,要访问current_user序列化程序上下文中的 ,请使用新的范围功能:
class ApplicationController < ActionController::Base
...
serialization_scope :current_user
end
如果您手动实例化序列化程序,请确保传递范围:
model.active_model_serializer.new(model, scope: serialization_scope)
然后在序列化器内部,添加自定义方法来添加您自己的授权伪属性,使用scope(当前用户)来确定权限。
如果您使用的是 CanCan,您可以实例化您的 Ability 类来访问该can?方法:
attributes :can_update, :can_delete
def can_update
# `scope` is current_user
Ability.new(scope).can?(:update, object)
end
def can_delete
Ability.new(scope).can?(:delete, object)
end
于 2012-07-25T23:29:17.197 回答
3
我们创建了一个提供此功能的 gem:https ://github.com/GroupTalent/active_model_serializers-cancan
于 2013-03-20T23:14:41.303 回答
2
我认为你可以传递任何你想要传递的东西,serialization_scope所以我只是传递了能力。
class ApplicationController < ActionController::Base
...
serialization_scope :current_ability
def current_ability
@current_ability ||= Ability.new(current_user)
end
end
class CommentSerializer < ActiveModel::Serializer
attributes :id, :content, :created_at, :can_update
def can_update
scope.can?(:update, object)
end
end
我不能这样做,因为我的能力实际上基于两个变量(不在上面的示例中)。
如果您仍然需要访问 current_user,您可以简单地在 Ability 上设置一个实例变量。
于 2014-05-23T14:58:05.550 回答