0

我正在开发一个 Rails 应用程序,使用 CanCan 进行授权。该应用程序具有数据库模型 User 和 PositionGameStat。PositionGameStat 有一个外键 user_id。position_game_stat 的索引页面显示了用户提交的统计信息列表,每个统计信息都有一个编辑按钮。目前它很容易被注入(... /position_game_stats/130/edit)

我希望用户只能编辑与当前用户相同的 position_game_stat 条目。

换句话说,如果有人试图注入 url .../position_game_stats/129/edit 并且他们没有输入这些统计信息,CanCan 将拒绝访问

下面是我的代码。

我的代码:app/controllers/position_game_stats_controller.rb

class PositionGameStatsController < ApplicationController  

    before_filter :authenticate_user! 
    ...   
    def edit
      authorize! :manage, @position_game_stat 
      @position_game_stat = PositionGameStat.find(params[:id])
    end 
    ... 
  end

应用程序/模型/ability.rb

class Ability
  include CanCan::Ability

  def initialize(user)
    can :show, User, :id => user.id
    can :manage, PositionGameStat do |t|
      t.user_id == user.id
    end  
  end 
end

任何建议都非常感谢。

更新:根据比利陈的建议,这个代码似乎至少更接近:能力

class Ability
  include CanCan::Ability

  def initialize(user)
    can :show, User, :id => user.id
    can :manage, PositionGameStat do |t|
      t.user == current_user
    end
  end
end

控制器

class PositionGameStatsController < ApplicationController

  before_filter :authenticate_user!

...

  def edit
    authorize! :manage, PositionGameStat
    @position_game_stat = PositionGameStat.find(params[:id])
  end
...
end

从某种意义上说,这让我更加接近,它并没有拒绝对页面的访问,但它仍然容易受到注入。例如 /position_game_stats/137/edit 仍然可以访问,即使它是由不同的用户创建的。

有什么建议么?

4

3 回答 3

0

在您的ability.rb 中,您需要指定应如何应用授权规则:

  can :manage, PositionGameStat, PositionGameStat.find_all_by_user_id(user.id) do |position_game_stat|
    position_game_stat.new_record? or position_game_stat.user.id == user.id
  end

在您的控制器中,您可以使用以下方式应用授权:

  load_and_authorize_resource

注意: load_and_authorize_resource 实际上会做类似@position_game_stat = PositionGameStat.find(params[:id]). 如果您不希望这种行为,您可以像这样手动执行授权:

  @position_game_stat = PositionGameStat.accessible_by(current_ability).find(params[:id])

最后参考 CanCan 文档的这一部分了解更多详情:https ://github.com/ryanb/cancan/wiki/Defining-Abilities-with-Blocks

于 2013-08-28T04:17:42.527 回答
0 
can :manage, PositionGameStat do |t|
  t.user == current_user
end

完毕。

更新

好的,我看到了问题。这条线是错误的

authorize! :manage, @position_game_stat

您仅授权此特定实例。那是错的。应该

authorize! :manage, PositionGameStat
于 2013-08-28T04:41:57.013 回答
0

最终解决方案:PositionGameStatsController.rb

    class PositionGameStatsController < ApplicationController

      before_filter :authenticate_user!

      load_and_authorize_resource

...

      def edit
        authorize! :manage, PositionGameStat
        @position_game_stat = PositionGameStat.find(params[:id])
      end
...
    end

能力.rb

class Ability
  include CanCan::Ability

  def initialize(user)
    can :show, User, :id => user.id
    can :manage, PositionGameStat do |t|
      t.user.id == user.id
    end
  end
end

感谢 Billy Chan 和 Steakchaser 的建议,这足以让我继续前进。无论出于何种原因,current_user 在 Ability.rb 中都不起作用。

于 2013-08-28T06:56:42.037 回答