0

这段代码有什么问题?一个普通用户仍然能够看到所有的关系,而他应该只看到他自己的。

我的查看代码:

<% if can? :read, Relato %>
  <td><%= relato.id %></td>
  <td><%= relato.cliente.name %></td>
  <td><%= relato.projeto.name %></td>
  <td><%= relato.local.logra %></td>
  <td><%= relato.time %></td>
  <td><%= relato.comment %></td>
<% end %>

我的Ability班级:

can :manage, :all if user.role == "admin"

if user.role == "normal"
  can :read, Relato ,  :user_id => user.id 
  can :manage, Relato,  :user_id => user.id 
end
4

1 回答 1

3

您需要为特定实例授权用户:

<%= if can? :read, relato %>

当您尝试为整个类授权用户时,如上所述,CanCanCan 会忽略能力中定义的任何条件,因为它无法确定user_id整个Relato模型的字段;它只能对单个relato实例执行此操作。

于 2015-08-06T17:08:39.923 回答