VIKEnut'

De

РусскийPortuguês

Dunkles thema

Schreiben

Dunkles thema

De

РусскийPortuguês
ruby-on-rails-4ruby-on-railspundit

Gültigkeitsbereiche in Pundit implementieren

Ich benutze das Pundit-Juwel (mit Devise und Rolify), um den Zugriff auf Informationen basierend auf angemeldeten Benutzerrollen einzuschränken.

Derzeit sind drei Rollen für mein Benutzermodell definiert: "Admin", "Client-Admin" und "Kunden-Admin".

Ein Benutzer gehört einem Kunden. Kunde hat_viele Benutzer.

Ich habe eine Pundit-Richtlinie erfolgreich implementiert, wennIndizierung das Kundenmodell. Administratoren und Kundenadministratoren können alle Kunden sehen. Der Kundenadministrator kann nur seinen EIGENEN Datensatz anzeigen.

Das Problem liegt, wenn ich versuche, das einzuschränkenShow Methode des Kundencontrollers. Administratoren und Kundenadministratoren können alle Kunden sehen. Der Kundenadministrator sollte jedoch nur seinen eigenen Datensatz sehen können.Im jetzigen Zustand kann der Kundenadministrator jedoch eine beliebige ID in die URL eingeben und alle Kundendatensätze anzeigen.

Ich bin verwirrt über das Scoping. Ich verstehe, dass die Policy-Methoden (d. H. Index? Und show?) Dazu dienen, zu beschränken, dass die WHO diese Aktionen ausführen kann, und die Scoping-Methoden beschränken, WELCHE RECORDS erhältlich sind. Ich habe Probleme, den richtigen Bereich für das obige Szenario zu erstellen.

Hier ist der Kundencontroller:

class CustomersController < ApplicationController
  before_action :set_customer, only: [:show, :edit, :update, :destroy]
  after_action :verify_authorized

  # GET /customers
  # GET /customers.json
  def index
    @customers = policy_scope(Customer)
    authorize Customer
  end

  # GET /customers/1
  # GET /customers/1.json
  def show
    authorize @customer
  end

  # GET /customers/new
  def new
    @customer = Customer.new
    authorize @customer
  end

  # GET /customers/1/edit
  def edit
    authorize @customer
  end

  # POST /customers
  # POST /customers.json
  def create
    @customer = Customer.new(customer_params)
    authorize @customer

    respond_to do |format|
      if @customer.save
        format.html { redirect_to @customer, notice: 'Customer was successfully created.' }
        format.json { render :show, status: :created, location: @customer }
      else
        format.html { render :new }
        format.json { render json: @customer.errors, status: :unprocessable_entity }
      end
    end
  end

  # PATCH/PUT /customers/1
  # PATCH/PUT /customers/1.json
  def update
    authorize @customer
    respond_to do |format|
      if @customer.update(customer_params)
        format.html { redirect_to @customer, notice: 'Customer was successfully updated.' }
        format.json { render :show, status: :ok, location: @customer }
      else
        format.html { render :edit }
        format.json { render json: @customer.errors, status: :unprocessable_entity }
      end
    end
  end

  # DELETE /customers/1
  # DELETE /customers/1.json
  def destroy
    authorize @customer
    @customer.destroy
    respond_to do |format|
      format.html { redirect_to customers_url, notice: 'Customer was successfully destroyed.' }
      format.json { head :no_content }
    end
  end

  private
    # Use callbacks to share common setup or constraints between actions.
    def set_customer
      @customer = Customer.find(params[:id])
    end

    # Never trust parameters from the scary internet, only allow the white list through.
    def customer_params
      params.require(:customer).permit(:name, :parent_customer_id, :customer_type, :active, :currency)
    end
end

Und hier ist die Kundenrichtlinie:

class CustomerPolicy < ApplicationPolicy

  def index?
    # Admins, ClientAdmins, and CustomerAdmins can index customers (see Scope class for filters)
    @user.has_role? :admin or @user.has_role? :client_admin or @user.has_role? :customer_admin
  end

  def show?
    # Admins, ClientAdmins, and CustomerAdmins can see any customer details
    @user.has_role? :admin or @user.has_role? :client_admin or @user.has_role? :customer_admin
  end

  def update?
    # Only Admins and ClientAdmins can update customer details
    @user.has_role? :admin  or @user.has_role? :client_admin
  end

  def destroy?
    @user.has_role? :admin or @user.has_role? :client_admin
  end

  class Scope < Struct.new(:user, :scope)
    def resolve
      if (user.has_role? :admin or user.has_role? :client_admin)
        # Admins and ClientAdmins can see all Customers
        scope.where(:parent_id => nil)
      elsif user.has_role? :customer_admin
        # Customer Admins can only see their own Customer
        scope.where(:id => user.customer) # THIS DOES NOT APPEAR TO GET INVOKED BY THE SHOW METHOD OF THE CONTROLLER
      end
    end    

    def show?
      # NOT SURE WHAT TO PUT IN HERE
    end
  end
end

Erfolg!! Dank des Vorsprungs von railscard bestand der Trick darin, die Show zu modifizieren? Methode in der Kundenrichtliniendatei wie folgt:

  def show?
    # Admins, ClientAdmins, and CustomerAdmins can see any customer details
    # Students cannot see customer details

    return true if user.has_role?(:admin) || user.has_role?(:client_admin)
    return true if user.customer_id == @record.id && user.has_role?(:customer_admin)
    false
  end

Beachten Sie, dass ich die Instanzvariable @record verwenden musste, da dies in der Anwendungsrichtlinienklasse verwendet wird, um auf den Datensatz zu verweisen, der von der authorize-Methode übergeben wird.

Vielen Dank!!

Antworten auf die Frage(2)

Ihre Antwort auf die Frage

Top Fragen

0 die antwort

Angular 2 - Rohrwiederverwendung in mehreren Modulen - Fehler nicht gefunden oder doppelte Definition

0 die antwort

Wie rendere ich einen HTML-Kommentar in React?

0 die antwort

Wie starte, stoppe und verbinde ich Spring RabbitMQ Listener Container und deren Verbindungen?

0 die antwort

Warum gibt map ein Map-Objekt anstelle einer Liste in Python 3 zurück?

0 die antwort

So rufen Sie die C # -Funktion in einer gespeicherten Prozedur auf