CanCan load_and_authorize_resource uruchamia zabronione atrybuty

Question

Oct 06, 2012, 05:34 AM

strong-parameters cancan ruby rspec2 ruby-on-rails

CanCan load_and_authorize_resource uruchamia zabronione atrybuty

Mam standardowy kontroler REST, który używa silnych parametrów.

class UsersController < ApplicationController
  respond_to :html, :js

  def index
    @users = User.all
  end

  def show
    @user = User.find(params[:id])
  end

  def new
    @user = User.new
  end

  def edit
    @user = User.find(params[:id])
  end

  def create
    @user = User.new(safe_params)

    if @user.save
      redirect_to @user, notice: t('users.controller.create.success')
    else
      render :new
    end
  end

  def update
    @user = User.find(params[:id])

    if @user.update_attributes(safe_params)
      redirect_to @user, notice: t('users.controller.update.success')
    else
      render :edit
    end
  end

  def destroy
    @user = User.find(params[:id])

    if current_user != @user
      @user.destroy
    else
      flash[:error] = t('users.controller.destroy.prevent_self_destroy')
    end
    redirect_to users_url
  end

  private

  def safe_params
    safe_attributes =
      [
        :first_name,
        :last_name,
        :email,
        :password,
        :password_confirmation,
      ]
    if current_user.is?(:admin)
      safe_attributes += [:role_ids]
    end
    params.require(:user).permit(*safe_attributes)
  end
end

W moimconfig/initializers Mam plikstrong_parameters.rb

ActiveRecord::Base.send(:include,  ActiveModel::ForbiddenAttributesProtection)

Kiedy dodam proste połączenie do CanCanaload_and_authorize_resource dostaję

1) UsersController POST create with invalid params re-renders the 'new' template
 Failure/Error: post :create, user: @attr
 ActiveModel::ForbiddenAttributes:
   ActiveModel::ForbiddenAttributes
 # ./spec/controllers/users_controller_spec.rb:128:in `block (4 levels) in <top (required)>'

Gdzie@attr w teście jest zdefiniowany jako

  before(:each) do
    @attr =
      {
        first_name: "John",
        last_name: "Doe",
        email: "[email protected]",
        password: "foobar",
        password_confirmation: "foobar"
      }
  end

W testach mam wszystko poprawnie skonfigurowane, aby zalogować się do użytkownika i dać im niezbędne role do bycia administratorem, więc wiem, że tak nie jest. Nie wiem, dlaczego powoduje to wyzwalanie ForbiddenAttributes. Jestem pewna, że przeoczyłem coś prostego. Czy ktoś inny napotkał ten problem i znalazł rozwiązanie?