VIKEnut'

Pt

РусскийDeutsch

Tema escuro

Write

Tema escuro

Pt

РусскийDeutsch
ruby-on-rails-4punditruby-on-rails

Implementando escopos no Pundit

Estou usando a gema Pundit (com Devise e Rolify) para restringir o acesso às informações com base nas funções de usuário conectado.

No momento, tenho três funções para o meu modelo de usuário definido: Admin, Admin do cliente e Admin do cliente.

Um usuário pertence a um cliente. Cliente tem_muitos usuários.

Eu implementei com êxito uma política Pundit quandoindexação o modelo do cliente. Administradores e Administradores de Clientes podem ver todos os Clientes. O administrador do cliente pode ver apenas seu próprio registro.

O problema está quando estou tentando restringir omostrar método do controlador do Cliente. Administradores e Administradores de Clientes podem ver todos os Clientes. No entanto, o administrador do cliente só poderá ver seu próprio registro.Mas, como está, o administrador do cliente pode inserir qualquer ID na URL e ver qualquer registro do cliente.

Eu sou confusa no escopo. Entendo que os métodos de política (ou seja, índice? E show?) São para restringir a OMS pode executar essas ações e os métodos de escopo que restringem QUE REGISTROS podem ser obtidos. Estou tendo problemas para compor o escopo correto para o cenário acima.

Aqui está o controlador do cliente:

class CustomersController < ApplicationController
  before_action :set_customer, only: [:show, :edit, :update, :destroy]
  after_action :verify_authorized

  # GET /customers
  # GET /customers.json
  def index
    @customers = policy_scope(Customer)
    authorize Customer
  end

  # GET /customers/1
  # GET /customers/1.json
  def show
    authorize @customer
  end

  # GET /customers/new
  def new
    @customer = Customer.new
    authorize @customer
  end

  # GET /customers/1/edit
  def edit
    authorize @customer
  end

  # POST /customers
  # POST /customers.json
  def create
    @customer = Customer.new(customer_params)
    authorize @customer

    respond_to do |format|
      if @customer.save
        format.html { redirect_to @customer, notice: 'Customer was successfully created.' }
        format.json { render :show, status: :created, location: @customer }
      else
        format.html { render :new }
        format.json { render json: @customer.errors, status: :unprocessable_entity }
      end
    end
  end

  # PATCH/PUT /customers/1
  # PATCH/PUT /customers/1.json
  def update
    authorize @customer
    respond_to do |format|
      if @customer.update(customer_params)
        format.html { redirect_to @customer, notice: 'Customer was successfully updated.' }
        format.json { render :show, status: :ok, location: @customer }
      else
        format.html { render :edit }
        format.json { render json: @customer.errors, status: :unprocessable_entity }
      end
    end
  end

  # DELETE /customers/1
  # DELETE /customers/1.json
  def destroy
    authorize @customer
    @customer.destroy
    respond_to do |format|
      format.html { redirect_to customers_url, notice: 'Customer was successfully destroyed.' }
      format.json { head :no_content }
    end
  end

  private
    # Use callbacks to share common setup or constraints between actions.
    def set_customer
      @customer = Customer.find(params[:id])
    end

    # Never trust parameters from the scary internet, only allow the white list through.
    def customer_params
      params.require(:customer).permit(:name, :parent_customer_id, :customer_type, :active, :currency)
    end
end

E aqui está a política do cliente:

class CustomerPolicy < ApplicationPolicy

  def index?
    # Admins, ClientAdmins, and CustomerAdmins can index customers (see Scope class for filters)
    @user.has_role? :admin or @user.has_role? :client_admin or @user.has_role? :customer_admin
  end

  def show?
    # Admins, ClientAdmins, and CustomerAdmins can see any customer details
    @user.has_role? :admin or @user.has_role? :client_admin or @user.has_role? :customer_admin
  end

  def update?
    # Only Admins and ClientAdmins can update customer details
    @user.has_role? :admin  or @user.has_role? :client_admin
  end

  def destroy?
    @user.has_role? :admin or @user.has_role? :client_admin
  end

  class Scope < Struct.new(:user, :scope)
    def resolve
      if (user.has_role? :admin or user.has_role? :client_admin)
        # Admins and ClientAdmins can see all Customers
        scope.where(:parent_id => nil)
      elsif user.has_role? :customer_admin
        # Customer Admins can only see their own Customer
        scope.where(:id => user.customer) # THIS DOES NOT APPEAR TO GET INVOKED BY THE SHOW METHOD OF THE CONTROLLER
      end
    end    

    def show?
      # NOT SURE WHAT TO PUT IN HERE
    end
  end
end

Sucesso!! Graças ao avanço dado a mim pelo railscard, o truque foi modificar o programa? no arquivo de política do Cliente, como o seguinte:

  def show?
    # Admins, ClientAdmins, and CustomerAdmins can see any customer details
    # Students cannot see customer details

    return true if user.has_role?(:admin) || user.has_role?(:client_admin)
    return true if user.customer_id == @record.id && user.has_role?(:customer_admin)
    false
  end

Observe que eu tive que usar a variável de instância @record, pois é isso que a classe de política do aplicativo usa para se referir ao registro que está sendo passado pelo método de autorização.

Obrigado!!

questionAnswers(2)

yourAnswerToTheQuestion

Perguntas populares

0 a resposta

Renderizar exibições parciais usando JQuery no MVC3

0 a resposta

instalando o &quot;make&quot; no Mac

0 a resposta

como registrar o nome do método ao usar a classe wrapper com o Log4net

0 a resposta

Importar dados para o Excel 2003 com uma página de login

0 a resposta

Por que os elementos da interface do usuário sempre devem ser criados / atualizados a partir do thread da interface do usuário?