1

我正在关注 Michael Hartl RoR 教程,但在此过程中实现了 Rollify 和 Authority。我以前从未使用过权威,我想知道以下 before_action 是否适合权威使用

# app/controllers/users_controller.rb 
class UsersController < ApplicationController
  before_action :logged_in_user, only: [:edit, :update]
  .
  .
  .
  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end

    # Before filters

    # Confirms a logged-in user.
    def logged_in_user
      unless logged_in?
        flash[:danger] = "Please log in."
        redirect_to login_url
      end
    end
end

def logged_in_user将ApplicationAuthorizer 类的内部放入以供将来使用会是“良好的编程习惯”吗?

4

1 回答 1

1

logged_in_user放入里面会是“良好的编程习惯”吗ApplicationAuthorizer

不。

和之间有区别AuthenticationAuthorization

  • 身份验证——用户登录?
  • 授权——用户可以这样做吗?

区别是微妙但重要的——您希望在授权之前进行身份验证,或者至少独立进行。

一个很好的类比是身份验证是当您访问秘密方(密码)时;授权是您可以坐在哪张桌子上。

如果您使用其中一种预卷身份验证系统 (DeviseSorcery),您将处理您的身份验证,为您提供诸如user_signed_in?etc之类的帮助程序。

要回答您的问题,考虑到您已经推出了自己的身份验证,您当前的模式就足够了。

如果您使用的是,则Devise需要使用以下内容:

#config/routes.rb
authenticate :user do
  resource :profile, controller: :users, only: [:show, :update] #-> url.com/profile
end

#app/controllers/users_controller.rb
class UsersController < ApplicationController
  def show
    @user = current_user
  end

  def update
    @user = current_user.update update_params
  end
end

--

您要做的是评估@user.id反对current_user.id

#app/models/user.rb
class User < ActiveRecord::Base
  include Authority::UserAbilities
  before_action :logged_in_user, only: [:edit, :update]

  def edit
     @user = User.find params[:id]
     redirect_to root_path, notice: "Can't edit this user" unless current_user.can_edit?(@user)
  end

  def update
    @user = User.find params[:id]
    if current_user.can_update?(@user)
       @user.update ...
    else
      # redirect
    end
  end

  private

  def logged_in_user
    redirect_to login_url, error: "Please log in." unless logged_in?
  end
end

# app/authorizers/user_authorizer.rb
class UserAuthorizer < ApplicationAuthorizer

  def self.editable_by?(user)
    user.id = self.id
  end

  def self.updatable_by?(user)
    user.id = self.id
  end
end
于 2016-02-13T12:19:42.100 回答