Devise & CanCan - Проблемы с API CanCan 2.0 - PullRequest
Новая
       16

Devise & CanCan - Проблемы с API CanCan 2.0

2 голосов
/ 09 декабря 2011

Я хотел бы иметь дополнительные атрибуты для моей модели пользователя и не хочу создавать отдельную модель профиля.Я пытаюсь обновить пользовательские поля стандартным «update» из набора действий RESTful: 

class UsersController < ApplicationController
  before_filter :authenticate_user!
  # ...
  def update
    @user = User.find(params[:id])
    authorize! :update, @user
    respond_to do |format|
      if @user.update_attributes(params[:user])
        format.html { redirect_to @user, notice: 'User was successfully updated.' }
        format.json { head :ok }
      else
        format.html { render action: "edit" }
        format.json { render json: @user.errors, status: :unprocessable_entity }
      end
    end
  end
end

И все идет хорошо, за исключением того факта, что current_user может обновить профиль любого пользователя.Кажется, я не могу ограничить действия пользователя.Я пробовал: 

can :update, User, :id => user.id

и 

cannot :update, User # at all

без удачи.Использование Devise 1.5.0 и CanCan 2.0.0.alpha

Вот моя способность.rb 

class Ability
  include CanCan::Ability

  def initialize(user)
    user ||= User.new(:role => nil) # guest user (not logged in)
    can :access, :all
    if user.admin?
      can :manage, :all
    else
      can :read, Review
      if user.customer?
        can :update, User, :id => user.id
        can [:create, :update, :destroy], Review, :user_id => user.id
      end
    end
  end
end

1 Ответ

1 голос
/ 09 декабря 2011

Код выглядит хорошо для меня.Что если вы попытаетесь сначала упростить второе условие и убрать условие клиента?И, может быть, вынуть "can: access,: all

Что-то вроде: 

class Ability
  include CanCan::Ability

  def initialize(user)
    user ||= User.new(:role => nil) # guest user (not logged in)
    if user.admin?
      can :access, :all
    else
      can :read, :all
      can :update, :users, :id => user.id
      can [:create, :update, :destroy], :reviews, :user_id => user.id
    end
  end
end

Ваше ограничение работает для Обзоров (этот пользователь может редактировать только свои обзоры)? У меня есть похожеефайл способностей, но я всегда работаю с отдельной моделью профиля ..

...