cancan

1熱度

3回答

我有一個應用程序，我正在寫軌道3 W /康康和設計。我很好奇，從安全的角度來看，授權控制器上的後置操作是必要的還是有用的？假設我所有的控制器動作都需要認證w/devise（即用戶必須登錄）。我可以看到爲什麼我需要通過cancan對我的控制器使用GET的操作進行授權，因爲用戶可以簡單地輸入他們希望自由訪問的url並且必須鎖定。但是，對於帖子，用戶必須從表單發佈數據，該表單通過令牌防止xss攻擊。

31熱度

3回答

如何創建第一個（管理員）用戶（CanCan和Devise）？

我在導軌進行認證3應用程序通過Tony's tutorial 休耕我不想公開登記在我的應用程序，只需創建新用戶與管理員帳戶，但我不能手動創建管理員帳戶，因爲在表那裏的用戶有加密的密碼和必須生成的salt，我不知道如何：|

0熱度

2回答

使用Rails的Cancan身份驗證

我有一個複雜的身份驗證方案，我想出了這個模型結構。 see model structure 任何一個可以指導如何使用康康舞與這種結構中嵌入認證。

1熱度

1回答

Rails授權？檢查模型vs控制器

我正在做一個user模型的檢查，以確定他/她是否有一個或多個task_list，如果她有多個task_list只允許她刪除它，否則會引發異常。我基本上叫delete_list用戶模型的方法，以允許短手的缺失，如user1.delete_list(list1) 我辯論是否將在慘慘檢查哪裏會濾波器之前應用的控制器上，或者是否有它在用戶模型中也是如此。建議的做法是什麼？

2熱度

1回答

慘慘：「可以」的方法再次提取記錄，即使他們已經獲取

我想通過這樣的 <% if(can? :change, comment.karma, comment.user_id)%> #blah blah blah <% end %> ，並在我的ability.rb一個對象，我有以下幾點： can :change, Karma do |karma, owner_id| !karma.changers.map(&:use

2熱度

1回答

使用CanCan時，如何爲給定類的所有子類指定權限？

在我的模型中，我有相當數量的模型Item的子類。我希望能夠指定對於給定的角色，它們對Item的權限適用於Item的所有子類，而不顯式列出它們;如果我添加新的Item子類，我不想記得更新權限。我怎樣才能做到這一點？例如，這個許可 if user.role? :customer_service can :read, Item end 不允許客戶服務代表讀內閣，其中內閣<項目的詳細信息

1熱度

1回答

cancan和inherited_resources覆蓋集合

我想我遇到了兩個我最喜歡的寶石衝突。考慮以下幾點： class AccountsController < InheritedResources::Base load_and_authorize_resource def collection @accounts ||= end_of_association_chain.order_by(:name.asc).pagi

1熱度

3回答

軌慘慘 - 定義權限嵌套模型

我有兩個型號： Thread (id, title) ThreadParticipation (id, thread_id, user_id) 我想定義是這樣的： can :create, ThreadParticipation if the user is a ThreadParticipation 例如： for thread: (1, 'hello world')

19熱度

5回答

測試使用CanCan和Devise與RSpec的視圖

我試圖測試一個簡單的索引視圖，裏面有以下代碼： - if can? :destroy, MyModel %th Options MyModelsController有以下選項（繼承資源+ CanCan + Devise）： class MyModelsController < ApplicationController inherit_resources nest

2熱度

2回答

Rails - CanCan - accessible_by

任何人都可以向我解釋CanCan的accessible_by的工作原理嗎？它如何知道用戶和需要限制的事物之間的關係？