Pundit：在嵌套资源中授权索引

2023-12-04

将 Rails 4.2.4 与 Devise (3.5.2) 和 Pundit (1.0.1) 结合使用。体面的曝光（2.3.2）。

我有一个简单的用户和想法的嵌套关联：

class User < ActiveRecord::Base
has_many :ideas
...

class Idea < ActiveRecord::Base
belongs_to :user
...

在routes.rb中

devise_for :users

resources :users do
  resources :ideas
end

然后，如果 current_user 不是 Ideas 的所有者（在本例中，如果 current_user.id != 1），我只是尝试禁止访问 users/1/ideas 。我不知道该怎么做。我可以在索引视图中仅显示 current_user 想法：

[想法控制器]

def show
  authorize idea
end

[理念政策]

def show?
  @current_user == @idea.user
end

但如何防止用户简单地导航到其他用户的 Idea 索引页面呢？我想在 Ideas 控制器中我应该使用类似的东西：

def index
  authorize user
end

但然后呢？如何向用户政策发送有关创意收集的信息？或者我应该通过创意政策本身进行授权？

复制我在 GitHub 上的回复在这里，因为这会带来更多流量。

一种方法是创建存根Idea由用户拥有以授权反对。

def index
  @user = User::find(params[:user_id])
  idea  = Idea.new(user_id: @user.id)

  authorize idea

  # ...
end

and an index?方法在你的IdeaPolicy

def index?
  record.user_id = user.id
end

另一种方法是更改您授权的内容。而不是授权反对Idea，授权反对User.

def index
  @user = User::find(params[:user_id])

  authorize @user, :show_ideas?

  # ...
end

并创建一个新的show_ideas?方法对你的UserPolicy

def show_ideas?
  user.id == record.id
end

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

rubyonrails4

nested

Authorization

pundit

Pundit：在嵌套资源中授权索引的相关文章

Rails.application.routes.url_helpers 导致 Heroku 应用程序崩溃

我正在建造一个Collection Json 的序列化器 https github com carlesjove collection json serializer 我正在编写一个 API 作为示例我在使用时遇到问题Rails appl
尝试让 POST 返回 400 错误请求

我有一个通过关联构建新模型的 create 方法如果 POST 请求中没有参数我希望它返回带有一些文本的 400 响应但是我收到错误这是在 Rails 4 0 2 中控制器方法 def create cast profile c
覆盖 gem 的 lib 文件夹中的私有方法

spree auth devise gem 中有一个私有方法该方法位于控制器 UserSessionsController 内部https github com spree spree auth devise blob master li
Rails 4 中的“find_all_by_id”相当于什么

我有一个 id 数组我想使用活动记录查询从数据库中查找它们各自的记录例如 ids 2 3 1 现在对于我来说要查找 id 是数组中的其中之一的特定模型的所有记录在较低版本的 Rails 中我想我可以执行以下操作 Model fi
当用户应该有权访问他拥有的交易时，Rspec 测试失败，用户被重定向

在我的应用程序中借助 Cancan 我允许客户访问他自己的优惠当我用浏览器手动尝试时它有效但我未能实施 rspec 测试客户无法访问其他客户的交易只能访问他自己的交易管理员通过 Active Admin 界面授予他访问权限就
ActiveModel::ForbiddenAttributesError + cancan + Rails 4 + 具有作用域控制器的模型

我正在使用 cancan 1 6 10 和 Rails 4 0 0 我有一个名为 App 未限定范围的模型和一个控制器 Admin AppsController 其限定范围即 app controllers admin apps con
Rails Heroku 应用程序错误

我的项目在本地运行良好我将它部署到 Heroku 我遇到了一些错误应用程序无法在那里运行我正在使用 Rails 4 和 postgresql 无法理解为什么会发生这种情况在我看来数据库没有创建我应该在我的database yml
如何阻止远程表单提交？

我有一个可以远程和正常使用的表格 form for comment html class comment form remote request xhr do f f text area body f submit 我希望仅在以下情况下提交
枚举类型的命名空间 - 最佳实践

通常需要同时使用多种枚举类型有时人们会发生名字冲突我想到了两种解决方案使用命名空间或使用更大的枚举元素名称尽管如此命名空间解决方案有两种可能的实现带有嵌套枚举的虚拟类或完整的命名空间我正在寻找所有三种方法的优缺点
使用 Ruby on Rails ActiveSupport::Concern 功能时如何“嵌套”包含模块？

我正在使用 Ruby 1 9 2 和 Ruby on Rails v3 2 2 gem 鉴于我正在使用 RoR 我想嵌套包含模块ActiveSupport 关注 http api rubyonrails org classes Acti
ActionDispatch::Http::UploadedFile.content_type 在 Rspec 测试中未初始化

背景我有一个Book模型与一个cover file通过我的 Rails 控制器之一使用上传的文件设置的属性我正在使用 Rails v4 0 4 Goal 我想测试是否仅保存具有特定内容类型的文件我计划创建 Rspec 测试示例Acti
从 XML 文档生成嵌套列表

在 python 中工作我的目标是解析我制作的 XML 文档并创建一个嵌套的列表列表以便稍后访问它们并解析提要 XML 文档类似于以下代码片段
Pyramid 中基于动态用户的授权

我正在跟进Pyramid 文档中的安全指南 http docs pylonsproject org projects pyramid 1 1 narr security html以及 wiki 教程添加授权 http docs pylons
将 WebApp 授权给 ADFS 以访问 Dynamics CRM Web API

我有一个 Web 应用程序需要与 Dynamics CRM 365 Web API 通信 Dynamics CRM 配置为 ADFS 上的依赖方服务器是 Windows Server 2016 一切都在本地而不是在 Azure 上我为
如何在启动 Rails 控制台时自动运行代码？

假设每次 Rails 控制台出现时我都想要一个问候语 Scotts MBP 4 ucode scott rails c Loading development environment Rails 4 2 1 Hello there I m
Rails-自定义删除前确认对话框的视图

要删除 Rails 中的记录我使用此代码 result of which I get dialog box like this But I wants this dialog box to look like this 有没有办法自定义确
Rails 4 - 将地址保存为数据库中的一列

我是 Rails 新手正在开发一个简单的应用程序我的 ERD 中有一个名为 Client 的模型并且希望保存每个客户的地址我最初的想法是将地址保存为单独的字段即 rails g model Client address first
Rails 4 和thoughtbot/clearance - 将字段添加到用户模型

我是一个相对新手所以非常感谢任何帮助我正在使用 Rails 4 2 并使用 Clearance gem 进行身份验证我希望有人可以描述覆盖控制器以在注册表单上包含自定义属性的最佳实践我读过很多不同的建议其中许多来自不使用 Stro
机架超时：关闭信息/活动日志记录

随着机架超时 https github com heroku rack timeoutgem 安装后如何才能仅显示 ERROR 相关日志例如我想避免在我的日志中出现以下内容 source rack timeout id 8a11a8ac
如何以 Rails 方式处理 JavaScript 事件（例如“link_to :remote”）？

我正在使用 Ruby on Rails 4 我想以 Rails 方式处理 JavaScript 事件也就是说例如假设我有以下内容 link to destroy article path article method gt delet

随机推荐

合并两个数组并对最后一个数组进行排序

在一次采访中我被问到以下问题我有两个数组它们都已排序 BUT 数组 1 将有少量 1 数组 2 的总数将与数组 1 中 1 的总数相同所以在下面的例子中 array1 有三个 1 因此 array2 有 3 个数字 let say
如果我在 using 语句结束之前返回会发生什么？会调用 dispose 吗？

我有以下代码 using MemoryStream ms new MemoryStream code return 0 The dispose 方法在末尾调用using声明大括号正确的自从我return结束之前using声明将Memo
JavaScript 命名空间的首选技术

如果我不开始使用某种命名空间技术我的代码将会变得一团糟我对大型 javascript 项目的编程相对较新但在 C java python 等系统编程方面拥有丰富的经验基本上我试图确定哪种方法是创建 javascript 命名空间的
Eclipse 中的外部输出文件夹

eclipse中有没有办法使项目的输出文件夹成为外部文件夹而不是位于项目根目录下的文件夹是的您可以将其定义为链接文件夹这个这个所以回答更多 or this one 要创建新的链接文件夹请选择New gt Folder 在文件夹名称
通过 JWT 令牌在 Azure API 管理中进行授权

我编写了一个入站策略该策略启用 CORS 并根据授权服务器验证访问令牌以下政策运行良好
如何在 Chrome/Firefox 中导出 ES6 变量？ [复制]

这个问题在这里已经有答案了在最新版本的 Firefox 和 Chrome 中我尝试使用导出变量索引 js use strict import bla from helper console log bla 助手 js export v
用于 nil 过滤的通用 Swift 字典扩展

我正在寻找类型安全的通用版本这个答案这是我正在寻找的方法签名 extension Dictionary where Value Optional
尝试将命令行输出保存到文件时出错

我正在运行一个 python 工具并尝试将其输出保存到文件中如果我不将输出保存到文件中该工具将运行得很好但是当我尝试将输出保存到文件时它会抛出以下错误并中断程序 File androdiff py line 118 in
Mongoose，从子文档中提取

这是我的文档 password 87654321 title Organization A members tier 1 joinedDate Sun May 12 2013 00 00 00 GMT 0200 CEST user 543f
为什么我的原始查询行计数总是返回 -1？

我正在尝试检查表是否存在但无法正常工作由于某种原因 count 总是返回 1 我在数据库中已经有一个表它应该返回1 SearchEntities db new SearchEntities var qry3 var sql4 SEL
如何使用 Magick.net 以与使用 Image Magick 相同的方式设置配置文件？

我使用 ImageMagick 命令行将基于 CMYK 的图像转换为基于 RGB 的图像方法如下 convert exe profile icc JapanColor2001Coated icc colorspace cmyk inpu
具有多个值的数组列上的 LEFT OUTER JOIN

当一个表不是数组值而另一个表的数组值可以包含多个值时我似乎找不到通过数组列连接两个表的技巧当存在单值数组时它确实有效这是我正在谈论的一个简单的最小示例真实的表在数组列 FWIW 上有 GIN 索引这些不是但查询的行为是相同的
根据可能为空的属性对数组进行排序

我有一个对象数组 let items name eric value 1 name bob value 4 name michael value 0 name john value 3 name brad value null name m
如何返回列表中对象的原始名称？

我创建了先前生成的绘图和矩阵的命名列表并且我想返回这些元素的原始名称 mylist lt list FirstPlot myplot1 FirstMatrix mymatrix1 SecondPlot myplot2 names myli
如何解决图像选择器崩溃应用程序错误？

当我选择图像时应用程序崩溃了我正在使用 image picker 0 5 0 7 使用任何 ImageSource 都会使应用程序崩溃文件 fileState Future getImage ImageSource imageSour
WinRT 将图像加载到字节数组中

我正在尝试学习如何与图像的一些 WinRT Metro 对象进行交互基本上我正在努力创建一个易于使用的 GetPixel 和 SetPixel 方法类似于 System Drawing Bitmap 中不能在 Metro 应用程序中使
无法将 JSON 数组（例如 [1,2,3]）反序列化为类型“ ”，因为该类型需要 JSON 对象（例如 {"name":"value"}）才能正确反序列化

我有这个 JSON Attributes Key Name Value Value Acc 1 Values Acc 1 Key Id Value
如何在 CouchDB 中使用多个 WHERE 和 OR 子句创建视图

我如何创建一个与这样的 SQL 查询等效的视图 SELECT FROM 存储桶 WHERE uid uid AND Accepted Y OR uid uid ANDauthorid logginid 我的数据是这样存储的 id 94761
Pandas 字典矢量化查找

这似乎应该是一个常见的用例但我没有找到任何好的指导我有一个可行的解决方案但我宁愿进行矢量化查找而不是使用 Pandasapply 功能这是我正在做的事情的一个例子 import pandas as pd example dict c
Pundit：在嵌套资源中授权索引

将 Rails 4 2 4 与 Devise 3 5 2 和 Pundit 1 0 1 结合使用体面的曝光 2 3 2 我有一个简单的用户和想法的嵌套关联 class User lt ActiveRecord Base has many

Pundit：在嵌套资源中授权索引

Pundit：在嵌套资源中授权索引 的相关文章

随机推荐

热门标签

Pundit：在嵌套资源中授权索引的相关文章