我有一个使用 CanCan 1.6 的 Rails 3.1 应用程序。我正在使用attr_protected ... :as => :api
. 我想使用load_and_authorize_resource
, 但也剥离受保护的字段。有任何想法吗?
编辑:这是我目前的解决方法:
在orders#new 中,我跳过load_resource
并只是授权。我使用适当的范围直接初始化新订单:
@order = Order.new(params[:order], :as => :api)
然后手动设置用户:
@order.user = current_user
当然不是什么大不了的事,但不如让 CanCan 本地加载和授权,就像我在其他地方做的那样优雅。