【发布时间】:2011-01-09 19:55:18
【问题描述】:
user 有很多diary_entries
diary_entries 是用户私有的,因此用户只能创建/编辑/查看他自己的 diary_entries。
我之前没有实现过这种模式,并试图弄清楚如何做到这一点。
第一步是before_filter :authenticate_user!,但这使得diary_entries 仍然是注册用户之间的“共享”资源。
在diary_entries#create 操作中,我们设置了@diary_entry.user = current_user。然后,我们可以仅在 @diary_entry.user == current_user 时允许编辑/更新。
索引操作仅列出 current_user.diary_entries 而不是所有日记条目。
我的想法是否正确?有一个更好的方法吗?
【问题讨论】:
标签: authentication ruby-on-rails-3 authorization devise