我在这里简单解释一下。问题是如何使用 mongoid 授权嵌套资源?假设我有一个Project模型和一个Project::Task模型。Project有很多Project::Task。我想Project::Task在控制器级别授权,不想显示另一个Project人的任务。所以基本上我会在下面处理它:
load_and_authorize_resource :project, class: Project
load_and_authorize_resource :task, through: :project_id, class: Project::Task
但这不起作用。它总是抛出 403。这样做的正确方法是什么?