权威人士在索引中的授权答案

【问题标题】：Pundit authorization in index权威人士在索引中的授权
【发布时间】：2016-08-25 14:34:56
【问题描述】：

我最近一直在阅读权威 gem 的自述文件，并注意到他们从未授权控制器中的索引视图。（相反，他们使用范围）。

他们给出了很好的理由，因为索引页面通常包含元素列表，通过控制生成的列表，您可以有效地控制页面上的数据。但是，有时可能需要阻止对索引页本身的访问。（而不是允许访问空白索引页。）我的问题是执行此操作的正确方法是什么？

到目前为止，我提出了几种可能性，并且有以下课程：

模特MyModel
控制器MyModelsController
政策MyModelPolicy

在我的控制器的索引方法中，解决此问题的推荐方法如下：

def index
  @my_models = policy_Scope(MyModel)
end

这将允许访问索引页面，但会将结果过滤为仅用户可以看到的内容。（例如，无法访问没有结果。）

但是，为了阻止对索引页面本身的访问，我得出了两种不同的可能性：

def index
  @my_models = policy_Scope(MyModel)
  authorize @my_models
end

或

def index
  @my_models = policy_Scope(MyModel)
  authorize MyModel
end

其中哪一个是正确的路径，或者是否有其他更好的选择？

【问题讨论】：

创作与否的标准是什么？范围是否为空？
我遇到了同样的问题。我可能错了，但我认为关键在于阻止对索引页面的访问不是 Pundit 的工作。从授权的角度来看，拥有一个空的索引页面与没有索引是一样的：用户无权查看任何记录。有时，就像您的情况一样，用户甚至不应该看到指向索引页面的链接，但那是 可用性 问题，而不是授权问题，因此它不是 Pundit 的业务。

标签： ruby-on-rails pundit

【解决方案1】：

class MyModelPolicy < ApplicationPolicy
  class Scope < Scope
    def resolve
      if user.admin?
        scope.all
      else
        raise Pundit::NotAuthorizedError, 'not allowed to view this action'
      end
    end
  end
end

【讨论】：

我喜欢，从没想过那样做。

【解决方案2】：

政策，

class MyModelPolicy < ApplicationPolicy
  class Scope < Scope
    def resolve
      if user.admin?
        scope.all
      else
        scope.where(user: user)
      end
    end
  end

  def index?
    user.admin?
  end
end

控制器，

def index
  @my_models = policy_scope(MyModel)
  authorize MyModel
end

【讨论】：

我希望 Pundit 有一个更清洁的解决方案，尽管它确实有效