4

我使用 Devise 进行身份验证,使用 Rolify 进行角色管理,使用 CanCan 2.0 进行授权。

我试图允许 :admin 角色更改用户的角色,但不允许所有其他用户访问。

这是我尝试过但不起作用的方法:

#ability.rb
class Ability
  include CanCan::Ability

  def initialize(user)
    if user.has_role? :admin
      can :access, :all
    elsif user.has_role? :moderator
      can [:index, :read, :update, :destroy], :users, :user_id => user.id
      cannot :access, :users, [:role_ids]
    end
end

#application_controller.rb
...
rescue_from CanCan::Unauthorized do |exception|
    redirect_to root_url, :alert => exception.message
  end

我故意在我的用户表单中留下了关联:

#_form.html.erb
<%= simple_form_for @user do |f| %>
  <%= f.association :roles, as: :check_boxes %>
  <%#= f.association :roles, as: :check_boxes if can? :update, @user, :roles %>
  <%= f.button :submit %>
<% end %>

控制器

#users_controller.rb
class UsersController < ApplicationController

  before_filter :authenticate_user!
  load_and_authorize_resource

  def index
    @users = User.accessible_by(current_ability)
  end

  def new
    @user = User.new
  end

  def create
    @user = User.new(params[:user])
  end

  def show
    @user = User.find(params[:id])
  end

  def edit
    @user = User.find(params[:id])
  end

  def update
    @user = User.find(params[:id])

    @user.update_without_password(params[:user])

    if successfully_updated
      redirect_to @user
    else
      render :action => "edit"
    end
  end
end

和模型:

#user.rb
    class User < ActiveRecord::Base
      rolify

      attr_accessible :role_ids
    ...

现在,如果具有 :moderator 角色的用户尝试更改其他用户(或他自己)的角色,则会发生以下情况:

  1. 抛出 CanCan::Unauthorized 异常并将用户重定向到 root_url
  2. 为用户更改角色

我很困惑。如果发生异常,为什么还要进行更改?我可能做错了什么:)

我已经尝试根据 users_controller.rb 中的用户角色操作查询参数如果我在 def 更新后立即放置日志语句,这是我的输出:

2013-04-24 12:42:21 [4161] DEBUG    (0.1ms)  BEGIN
2013-04-24 12:42:21 [4161] DEBUG    (0.3ms)  INSERT INTO "users_roles" ("user_id", "role_id") VALUES (5, 1)
2013-04-24 12:42:21 [4161] DEBUG    (0.4ms)  COMMIT
2013-04-24 12:42:21 [4161] DEBUG   User Load (0.5ms)  SELECT "users".* FROM "users" WHERE "users"."id" = $1 LIMIT 1  [["id", "5"]]
2013-04-24 12:42:21 [4161] DEBUG {"username"=>"Blabla", "email"=>"bla@bla.com", "password"=>"", "password_confirmation"=>"", "approved"=>"1", "role_ids"=>["1", "2", ""]}

我一定是忽略了什么...

4

4 回答 4

1

首先,您可能想清理自己的能力,因为目前情况似乎有些混乱。忽略其他所有内容,为清楚起见,指定用于修改密码的自定义操作可能是个好主意。例如:

# ability.rb

def initialize(user)
  ...

  cannot :manage_roles, :user
  if user.has_role? :admin
    can :manage_roles, :user
  else
end

(您究竟想通过其余规则实现什么?目前,如果您似乎只让版主自己阅读、编辑和删除自己,这是您的意图吗?)

您可能希望隐藏或禁用表单的角色部分,以供实际上无法对其进行任何操作的任何人使用:

#_form.html.erb
<%= simple_form_for @user do |f| %>
  <%= f.association :roles, as: :check_boxes if can? :manage_roles, @user %>
  <%= f.button :submit %>
<% end %>

(请注意,can?这只需要两个参数,即操作和对象/类。)

如果您想更加安全,您还可以在控制器中使用以下检查:

# users_controller.rb
def update
  @user = User.find(params[:id])

  user_params = params[:user]
  if cannot? :manage_roles, @user
    user_params.delete_if { |k, v| k.to_sym == :role_ids }
  end

  if @user.update_without_password(user_params)
    redirect_to @user
  else
    render :action => "edit"
  end
end

(您需要仔细检查要从 params 哈希中删除的正确键是什么,我假设它:role_ids基于您的attr_accessible,但我不太了解 simple_form 。)

于 2013-04-24T01:25:23.533 回答
0

I am not sure if I understood what you want the moderators to do but here is a basic configuration I use. I adapted it to your scenario as far as I could. If moderators do not need individual rights simple remove the inner clause.

class Ability
  include CanCan::Ability

  def initialize(user)
    # Create guest user aka. anonymous (not logged-in) when user is nil.
    user ||= User.new

    if user.has_role? :admin
      can :manage, :all
    elsif user.has_role? :moderator
      can :manage, User, user_id: user.id
      can :create, User
      can :read, :all
    else
       # Guest user aka. anonymous
      can :read, :all
    end
  end
end
于 2013-04-24T00:01:56.557 回答
0

我最终使用了 before_filter,如下所示:

before_filter :prevent_unauthorized_role_setting, :only => [ :create, :update ]

def prevent_unauthorized_role_setting
  if cannot? :manage_roles, current_user
    params[:user].delete_if { |k, v| k.to_sym == :role_ids }
  end
end

同时遵循 Zaid 在ability.rb 中的建议:

cannot :manage_roles, :users
if user.has_role? :admin
  can :manage_roles, :users
end

此外,我自己放弃了 Rolify 并管理角色。

于 2013-04-26T09:35:43.577 回答
0

users/_form.html.erb在你的文件中用这个包装角色:

用简单的形式:

<% if can? :manage, User %>
  <%= f.association :roles, as: :check_boxes %>
<% end %>

没有简单的形式:

<% if can? :manage, User %>
    <div class="control-group">
      <%= f.label :roles, class: "control-label" %>
      <div class="controls">
        <% Role.all.each do |role| %>
            <%= check_box_tag "user[role_ids][]", role.id, @user.role_ids.include?(role.id) %>
            <%= role.name %><br />
        <% end %>
      </div>
    </div>
<% end %>
于 2013-04-22T22:38:15.137 回答