公司中的用户只能在 Rails 中查看他们公司内的项目..？

Question

我有三个模型：用户、组织和项目。

组织拥有_many 用户（具有不同角色）和用户属于_to 组织。

用户拥有_许多项目，项目同时属于用户和组织（通过将@project.organization_id = current_user.organization_id 放入控制器的def create 方法中）。

我将此位放入我的projects_controller.rb 文件中，以确保登录的用户只能查看与其组织关联的项目。

def index
    @projects = Project.where(organization_id:current_user.organization_id)
end

然而，这一切只是对 current_user 隐藏其他项目。如果他输入http://localhost:3000/projects/3（属于另一个组织的另一个用户的项目），他仍然可以访问它。

我应该在 projects_controller 的 def show 部分添加什么来阻止这种情况发生？我已经破解了几件事，但我无法在没有任何错误的情况下正确完成。如果可能的话，我也不想使用 CanCan。

我试着放了一个

before_filter :require_project_belong_to_organization, :only => [:show]

def require_project_belong_to_organization
   @project = current_user.projects.find(params[:id])
end

但这仅在是创建它的用户时才返回结果。我需要其他用户也能够查看它，只要他们在同一个组织中。

Answer 1

试试cancan。

Answer 2

在控制器中使用 before_filter 并检查项目的用户是否与 current_user 相同

Answer 3

我会首先在项目模型中创建一个函数authorized?。确保 current_user 对模型可用。

authorized?
  self.organization_id == current_user.organization_id
end

然后在控制器中：

def show
  @project = Project.find(params[:id])
  if @project
    unless @project.authorized?
      flash[:danger] = 'not authorized'
      redirect_to.... 
    end
  else
    flash.now[:danger] = 'Project was not found'
  end
end