Мне нужно убедиться, что у пользователя есть правильные разрешения, прежде чем он сможет редактировать информацию о сотруднике.В частности, пользователь должен быть администратором, а пользователь должен принадлежать к той же компании, что и сотрудник.Какой лучший способ сделать что-то подобное?
def EmployeesController < ApplicationController
before_filter :requires_admin_from_company(cid)
# Only allow access to this if user.admin is true and user.company_id is equal to employee.company_id
def update
# Somehow pass @employee.company_id into admin
@employee = Employee.find(params[:id])
@employee.update_attributes(params[:employee])
end
def requires_admin_from_company(cid)
if !@current_user.admin? || @current_user.company_id != cid
redirect_to login_url
end
end
end