在Rails中使用Pundit来限制整个控制器的干式方法是什么?
在Rails中使用Pundit来限制整个控制器的干式方法是通过在控制器中使用authorize方法来实现的。Pundit是一个用于授权管理的Ruby库,它提供了一种简单而强大的方式来定义和应用授权规则。
要在Rails中使用Pundit来限制整个控制器的干式方法,首先需要在控制器中包含Pundit模块,例如:
class UsersController < ApplicationController
include Pundit
# ...
end然后,在控制器的每个干式方法中,使用authorize方法来检查当前用户是否有权限执行该操作。例如:
class UsersController < ApplicationController
include Pundit
def index
authorize User
@users = User.all
end
def show
@user = User.find(params[:id])
authorize @user
end
# ...
end在上面的例子中,authorize方法接受一个参数,该参数可以是一个类名或一个实例对象。它会根据Pundit的授权规则来检查当前用户是否有权限执行相应的操作。如果用户没有权限,Pundit会抛出一个Pundit::NotAuthorizedError异常。
为了定义授权规则,需要创建一个与控制器对应的Policy类。例如,对于上面的UsersController,可以创建一个UserPolicy类来定义相关的授权规则。在UserPolicy类中,可以使用各种Pundit提供的方法来定义不同操作的授权规则。例如:
class UserPolicy < ApplicationPolicy
def index?
user.admin? # 只有管理员用户才有权限访问用户列表
end
def show?
user.admin? || record == user # 只有管理员用户或用户本人才有权限查看用户详情
end
# ...
end在上面的例子中,index?方法和show?方法分别定义了index和show操作的授权规则。user方法返回当前用户对象,record方法返回当前操作的对象(在show方法中即为要查看的用户对象)。根据具体的业务需求,可以自定义更多的授权规则。
推荐的腾讯云相关产品:腾讯云服务器(CVM)和腾讯云访问管理(CAM)。
- 腾讯云服务器(CVM):提供可扩展的云服务器实例,支持多种操作系统和应用场景。详情请参考:腾讯云服务器(CVM)产品介绍
- 腾讯云访问管理(CAM):用于管理和控制腾讯云资源访问权限的服务。可以通过CAM来管理用户、角色和策略,实现精细化的权限控制。详情请参考:腾讯云访问管理(CAM)产品介绍
相关·内容
我在Rails中使用Pundit,并且我有一个控制器,需要完全限制特定的用户角色。我的角色是“员工”和“消费者”。员工应该具有对控制器的完全访问权限,但使用者应该没有访问权限。有没有比逐个限制每个动作更枯燥的方法呢?例如,以下是我的策略: class MaterialPolicy < ApplicationPolicy
浏览 27提问于2019-02-06得票数 5
回答已采纳
我使用的是Rails4,devise用于身份验证,Pundit用于授权。我已经通过下面的代码限制了我的应用程序在每个控制器上检查授权。class ApplicationController < ActionController::Base after_action :verify_authorized#.....但是,我想跳过对应用程序中两个特定控制器</
浏览 0提问于2015-05-23得票数 7
回答已采纳
1回答
我正在构建一个rails API,并使用pundit对API进行授权。我正在尝试用这个方法为pundit定义current_user: def pundit_userend 我尝试将其作为API基础控制器中的私有方法来实现find_or_create_by>" 然后我尝试在我的应用程序
浏览 19提问于2020-10-20得票数 0
回答已采纳
1回答
我正在我的Rails3应用程序中编写一些表单视图,我想知道其他人可能正在做些什么,以一种干式的方式在前端和后端验证表单。
当然,在没有rails验证的情况下,似乎没有办法在后端进行验证。知道了这一点,在前端编写同样的验证似乎并不是很枯燥。我已经阅读了其他一些关于在两个地方编写验证的帖子,但除非有真正好的理由这样做,否则我宁愿不这样做。了解了rails</e
浏览 1提问于2012-04-16得票数 1
回答已采纳
1回答
我正在使用Rails构建一个活动站点。我需要创建一个系统来监控预订的数量,以确保活动不会被过度订阅。做这件事最有效的(干式)方法是什么?在我的索引页面上,我列出了每个事件与主图像,事件标题和日期。我已经在我的预订控制器中尝试了这个代码,但它不起作用-
if @event.bookings.count >= @event.n
浏览 2提问于2016-07-13得票数 0
1回答
我想限制可用于控制器中单个操作的响应格式。到目前为止,我所拥有的(和有效的): respond_to :json, :html
respond_to do |format| endend
这不像我想的那么干。在Merb
浏览 0提问于2011-09-23得票数 4
回答已采纳
我是一个rails新手,需要一些帮助来弄清楚这一点。每当我尝试创建或编辑新的“主题”时,都会抛出一个参数错误。render partial: 'likes/like', locals: {bookmark: bookmark} %> </div> params.require(:topic).permit(:t
浏览 0提问于2016-03-30得票数 0
我有几个想法:
在相同的帐户控制器中,创建自定义edit_personal_account和update_personal_account操作,并使用自定义personal_account_params(Rails 4,强参数)。在personal_account_params中,我将只编辑允许用户编辑的字段。使用像cancancan或pundit这样的宝石。我已经浏览了他们<
浏览 1提问于2015-02-19得票数 2
回答已采纳
1回答
我正在使用Rails(4.2.1)、Devise(3.4.1)和Pundit(1.0.0),并希望限制我的用户角色(rolify,4.0.0)对devise视图(例如/ users /edit)的访问。我的策略应该如何命名,或者我如何指定引用哪个模型?来匹配devise的
我试图在文档中复制带有的设备控制器,但无法使其工作。我应该怎么做才能做到这一点,我找不到任
浏览 0提问于2015-04-23得票数 0
每当我创建一个新的scaffold时,我都想使用app/policies/application_policy.rb中提供的默认pundit配置。当我没有为特定型号设置规则时,如何使用默认值?
浏览 0提问于2014-12-17得票数 4
2回答
Rails 4名称空间
、、、
当我尝试创建新的数据库条目或更新当前条目时,我收到路由错误。错误:没有与帖子"/pubs“匹配的路由resources :people, except: [:show] do :title, :notes, :auth_id, :person_id)end
在完成所有这些设置之后一旦我将这些函数限制<
浏览 1提问于2016-03-04得票数 0
2回答
我正在开发我的第一个rails api服务器。,我现在想要的是:
只有在发出请求的经过身份验证的用户具有匹配的/users/:id或角色admin的情况下,推理是,用于处理请求用户是否具有访问所请求的资源的权限的</e
浏览 2提问于2020-06-05得票数 0
5回答
我正在寻找一个用于Rails4的授权宝石。在我使用cancan之前,但它现在看起来已经过时了……附注:对于身份验证,我使用devise。
浏览 1提问于2013-11-30得票数 10
1回答
我试图在Rails 4中制作一个应用程序。 class UsersController < ApplicationController我已经开始从rails 4学习rails,所以我不知道这些词
浏览 1提问于2015-12-14得票数 0
回答已采纳
在我的ApplicationController里,有current_use。%>def free?end如果我将current_user更改为@current_user,则错误消息如下所示。
浏览 4提问于2015-02-05得票数 4
回答已采纳
我正在使用delayed_job运行一个数据提取程序,它使用包含权威授权的现有.html_erb模板,例如:通常,专家将在控制器中寻找一个“current_user”方法来设置专家策略类。但是,我没有控制器,因为作业是使用ActionView::Base的实例从ActiveJob运行的。%>
不过,我更希望
浏览 5提问于2015-10-22得票数 0
回答已采纳
1回答
我正在为一个rails项目使用单表继承。我想知道是否有可能通过在超类中实现一些常见函数在子类之间共享它们的功能。Best、E.
浏览 1提问于2010-11-17得票数 3
我使用pundit来处理我的API策略,我有一个项目显示,可以禁止用户在某些情况下,在其他情况下,只是限制。我说的限制是指现在是被禁止的,但如果他付费了,他就可以访问它。所以我需要我的应用程序接口来响应一个特定的代码(402 Payment Required),这样客户端就可以邀请用户付款,以便解锁节目。这是我当前的代码,它只在pundit返回f
浏览 7提问于2019-06-12得票数 0
回答已采纳
3回答
我在我的Rails应用程序上使用专家进行授权,我正在对我的请求进行单元测试。我已经成功地测试了策略,但是现在我想验证我的请求是否使用了该策略。我想以一种通用的方式这样做,我可以在任何请求规范中使用(不管控制器、操作和策略如何)。老实说,在这一点上,我将同意这样一种说法:“期望任何策略都能得到授权”,这是所有请求的通用说法。对于索引操作(使用策略范围)来说,很容易:
在请求中
浏览 4提问于2020-01-15得票数 5
回答已采纳
1回答
在我的Rails应用程序中,我希望更新应用程序范围布局中的header元素的内容,并让该内容取决于哪个控制器正在处理请求。我提出的解决方案(使用content_for或设置实例变量)似乎都需要代码复制,我正在寻找一种干式实现。是否有一个Rails变量可以在我的视图中使用来反映当前的控制
浏览 2提问于2011-03-10得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
