1

我正在使用 CanCan 和 Devise,但设计用户是通过自定义 UsersController 管理的。我只希望登录用户查看编辑销毁链接。但是现在取决于传递给能力类的内容,它要么隐藏所有用户(包括登录用户)的编辑销毁链接,要么将所有用户的编辑销毁链接公开给任何已登录用户,因此他们可以编辑任何用户帐户如果不是他们的事件。

用户/index.html.erb

 <% @users.each do |user| %>
    <div class="col-lg-3 col-sm-4 col-6">
       <div><%= user.email %></div>

       <% if user_signed_in? %> 

         <% if can? :update, user %>
           <div class=" btn "><%= link_to "Edit", edit_user_path(user) %> </div>
         <% end %>

         <% if can? :destroy, user %>
          <div class="btn btn-danger"><%= link_to 'Remove', user, method: :delete, data: {confirmation: 'Are you sure'} %></div>
         <% end %>

      <div><%= link_to "Sign Out", destroy_user_session_path, method: :delete  %> </div>

      <% end %> <!-- closes user_signed_in? -->
   </div>
 <% end %>

能力等级

 class Ability
   include CanCan::Ability

   def initialize(user)
     #to ensure user object is not nil when no user object is passed in
     user ||= User.new    

     can :manage, User do |user|

     #this exposes the destroy and edit links for all users including users not yet signed_in 

      #user.id == user.id

     #this hide the destroy and edit links for all users including signed_in user
      user == :user_id 
    end
  end
end

请注意,我在第二个屏幕截图下方添加了用户控制器

屏幕截图 1 显示,如果 未注释能力类中的user.id == user.id,它会公开所有用户的销毁编辑链接,包括尚未登录的用户,并且已登录的用户可以编辑不属于他的帐户。在屏幕截图中,真实登录用户的电子邮件是a@test.com,但您可以看到他有权访问未登录用户的编辑销毁链接,即b@test.com 在此处输入图像描述

屏幕截图 2,是我们在能力类中取消注释user == :user_id时得到的。即使是已登录用户,编辑和销毁链接也是隐藏的。 在此处输入图像描述

用户控制器的简化版本

  class UsersController < ApplicationController
     before_action :set_user, only: [:show, :update, :destroy]
     before_filter :authenticate_user!, except: [:new, :create]
     load_and_authorize_resource , only: [:index, :edit, :destroy]

     respond_to :html, :json

    def index
      @users = User.all
      respond_with @users
    end

    def edit
     #@user = User.find(params[:id])
     #respond_with @user
    end

    def destroy
      @user.destroy
      redirect_to users_path, {notice: 'A user was removed'}
    end

    private

    def set_user
      @user = User.find(params[:id])
    end

    def user_params
      params.require(:user).permit(:email, :password, :password_confirmation)
    end

  end

会话控制器

 class UsersSessionsController < Devise::SessionsController
    respond_to :html, :json

    def create
      super
      if signed_in?(resource) 

        #call the code to transfer guest cart to signed_in user
        load_current_cart
      end
    end
  end

由@gotva 下面的回答修复。因此:**can :manage, User, :id => user.id只有登录用户的@test.com 才能看到编辑销毁链接。新截图:

在此处输入图像描述

4

2 回答 2

1

尝试通过哈希(而不是块)定义能力 https://github.com/ryanb/cancan/wiki/Defining-Abilities#hash-of-conditions

can :manage, User, :id => user.id
于 2013-09-10T12:27:45.087 回答
0

在您的能力.rb:您是否尝试过:

user ||= User.new # guest user
# you can here try some condition if you have multi user types
can [:new, :create], :all
于 2013-09-10T12:27:12.017 回答