3

我对 CanCan 中模型的 3 层嵌套和继承资源有疑问。我读过我们应该将所有内容嵌套到 2 个级别,但我必须将所有内容都放在account模型下,现在我尝试在 CanCan 中这样做:

load_and_authorize_resource :account
load_and_authorize_resource :project, :through => :account
load_and_authorize_resource :model, :through => :project

这给了我一个值为@project 的@account 变量,就像它正在覆盖它一样。@project 是应该的,@model 也是。是我的错,CanCan 的,继承的资源还是 CanCan 不支持 3 级嵌套?另外,我在 IR 中为 ModelsController 执行此操作。

belongs_to :account, :finder => :find_by_name! do
  belongs_to :project, :finder => :find_by_name!
end

另一个奇怪的事情是当我load_and_从 CanCan 的定义中删除部分时。然后它可以工作,但我读过不使用该load部件可能很危险。

我可以只authorize_resource使用 CanCan 还是应该使用 CanCan?

4

1 回答 1

2

据我所知,您的授权是正确的。

CanCan gem ryan 的开发人员发布了这应该如何表现:https ://github.com/ryanb/cancan/issues/127#issuecomment-364475

这意味着你的

load_and_authorize_resource :account
load_and_authorize_resource :project, :through => :account
load_and_authorize_resource :model, :through => :project

最终会出现在这样的块中(这里:创建操作。对于其他操作应该最后授权!和@model更改):

@account = Account.find(params[:account_id])
authorize! :read, @account
@project = @account.projects.find(params[:project_id])
authorize! :read, @project
@model = @project.models.build
authorize! :new, @model

我希望这个答案可以帮助开发人员寻找嵌套的cancan授权:-)。

来源:https ://github.com/ryanb/cancan/issues/127#issuecomment-364475

ps:/accounts/1/projects/2/models/new 的错误行为:

load_and_authorize_resource :project
load_and_authorize_resource :model, :through => :project

这是一个安全问题,因为这样可以

@project = Project.find(params[:project_id]) [...]

,并且不检查当前账户是否允许读取关联账户'1'。它不检查项目'2'是否真的是帐户'1'的项目。

于 2013-06-18T14:05:13.770 回答