0

我有一个具有:name 属性的页面模型。我有一个名为 "home"的页面模型的特定路由,因为我希望在 root_url 中找到这个特定的页面记录。这行得通..但是因为我正在对路线进行硬编码...我只希望具有“super_admin”角色的用户能够更改页面模型上的:name 属性,其中name == "home"。例如,具有“admin”角色的用户不能更改“home”页面上的:name 属性。

  1. 我可以用 CanCan 得到细粒度吗?
  2. 我应该将此逻辑放在PageControllers更新操作中吗?
  3. 我应该以不同的方式设置“page#show”路线(不是硬编码)吗?

不知道如何做这些。提前感谢您的任何建议!

能力.rb

elsif user.role == "admin"
  can :manage, :all
  cannot :update, Page, ["name == ?", "home"] do |page|
    page.name == "home"
  end
end

routes.rb(我使用friendly_id从:name 属性生成 slug )

match '/:slug', :to => "pages#show", :as => :slug, :via => :get
root :to => 'pages', :controllers => "pages", :action => "show", :slug => "home"

pages_controller.rb(标准)

def update
  @page = Page.find(params[:id])

  respond_to do |format|
    if @page.update_attributes(params[:page])
      format.html { redirect_to @page, notice: 'Page was successfully updated.' }
      format.json { head :no_content }
    else
      format.html { render action: "edit" }
      format.json { render json: @page.errors, status: :unprocessable_entity }
    end
  end
end
4

1 回答 1

1

我必须承认,我已经将你的问题读了三遍,我想我已经为你找到了答案……

1 - 是的,我相信是的。但是,我不相信您的ability.rb代码是正确的。我的目标是更接近这个:

cannot :update, Page do |page|
  page.name == "home"
end

2 - 如果您load_and_authorize_resource在控制器中执行此操作,那应该就是您所需要的,因为它会@page为您加载。

class PagesController < ApplicationController

  load_and_authorize_resource

  def update

    respond_to do |format|
      if @page.update_attributes(params[:page])
        format.html { redirect_to @page, notice: 'Page was successfully updated.' }
        format.json { head :no_content }
      else
        format.html { render action: "edit" }
        format.json { render json: @page.errors, status: :unprocessable_entity }
      end
    end
  end

end

3 - 对我来说,你的路线看起来不错。这可能是我接近它的方式。

于 2013-11-15T20:18:50.887 回答