0

我正在尝试测试Farm模型的用户身份验证,在这种情况下,该:user角色在登录时具有对所有场的读取权限(因为来宾用户也就是匿名的)。

# /models/ability.rb
class Ability
  include CanCan::Ability

  def initialize(user)
    # Create guest user aka. anonymous (not logged in) when user is nil.
    user ||= User.new

    if user.has_role? :admin
      can :manage, :all
    else # guest user aka. anonymous
      can :read, :all
      # logged in user
      if user.has_role? :user
        can :create, Farm
        can :manage, Farm, :user_id => user.id
      end
    end

  end
end

...

# /controllers/api/v1/farms_controller.rb
class Api::V1::FarmsController < ActionController::Base

    load_and_authorize_resource
    rescue_from CanCan::AccessDenied do |exception|
        redirect_to farms_path, alert: exception.message
    end
    respond_to :json

    def index
        # Next line might be redundant refering to the CanCan wiki. See below..
        @farms = Farm.accessible_by(current_ability, :read)
        respond_with(@farms)
    end
end

...

# /spec/api/v1/farm_spec.rb
require "spec_helper"

describe "/api/v1/farms" do
    let(:user) { create(:user) } # lets call this user1 in the discussion
    let(:token) { user.authentication_token }

    before do
        user.add_role :user
        create(:farm, user: user, name: "Testfarm")
        create(:farm, name: "Access denied")
        @ability = Ability.new(user)
    end

    context "farms viewable by this logged-in user" do
        let(:url) { "/api/v1/farms" }
        it "json" do
            get "#{url}.json"

            farms_json = Farm.accessible_by(@ability, :read).to_json

            assert last_response.ok?
            last_response.body.should eql(farms_json)
            last_response.status.should eql(200)

            farms = JSON.parse(last_response.body)

            farms.any? do |farm|
                farm["name"] == "Testfarm"
            end.should be_true

            farms.any? do |farm|
                farm["name"] == "Access denied"
            end.should be_true

        end
    end
end

问题

当我检查时,farms_json我可以看到它只包含Testfarm. 当我检查时,last_response我可以看到它同时包含Testfarm Access denied。这很奇怪,因为我accessible_by在规范和index操作中都使用了相同的方法。我使用的设置在名为Fetching Records的 CanCan gem 的 wiki 中进行了描述。

无用的解决方法

当我将用户添加user到农场Access denied时,例如...

create(:farm, user: user, name: "Access denied")

...然后测试成功。

问题

  1. 为什么任何用户(包括来宾用户)都可以读取“拒绝访问”场,但它没有返回?
  2. 是否get "#{url}.json"真的考虑了用户的状态?这一切都是由load_and_authorize_resourcein 完成的FarmsController吗?
  3. wiki 提到可以@farms = Farm.accessible_by(current_ability, :read)省略,因为“这是由索引操作自动完成的load_resource”。这适用于我的情况吗?

实验

我创建了另一个用户“user2”和另一个农场“我的小农场”。我把它们联系起来了。这样,示例中的数据库总共包含三个农场:

  • 与 user1 关联的场“Testfarm”
  • 场“拒绝访问”与无用户关联
  • 与 user2 关联的农场“我的小农场”。

当我跑步时,Farm.accessible_by(Ability.new(user1), :read)我仍然只收到“Testfarm”。

4

1 回答 1

0

我的问题的答案由多个部分组成。我希望这可以向处理类似配置的其他所有人阐明设置。

1.能力优先

首先请注意,技能规则的顺序确实很重要,如技能优先级中所述。在意识到这个事实后,我想出了一套更新的能力规则。

# /models/ability.rb
class Ability
  include CanCan::Ability

  def initialize(user)
    # Create guest user aka. anonymous (not logged-in) when user is nil.
    user ||= User.new

    if user.has_role? :admin
      can :manage, :all
    else
      # logged in user
      if user.has_role? :user
        can :manage, Farm, :user_id => user.id
        can :create, Farm
      end
       # guest user aka. anonymous
      can :read, :all
    end
  end
end

2. 农场控制器

在索引操作中保持简单。load_and_authorize_resource是你的朋友。

# /controllers/api/v1/farms_controller.rb
class Api::V1::FarmsController < ActionController::Base

    load_and_authorize_resource
    rescue_from CanCan::AccessDenied do |exception|
        redirect_to farms_path, alert: exception.message
    end
    respond_to :json

    def index
        respond_with(@farms)
    end
end

3. 使用认证令牌获取请求

当您从农场控制器请求数据时,不要忘记传递令牌。

# # /spec/api/v1/farm_spec.rb
get "#{url}.json", auth_token: :token

令牌必须按如下方式添加到 User 模型中。

# app/models/user.rb
class User < ActiveRecord::Base
    before_save :ensure_authentication_token

并且方法的名称可以在 Devise 的初始化器中配置。

# config/initializers/devise.rb
config.token_authentication_key = :auth_token
于 2013-01-18T17:33:45.997 回答