【发布时间】:2015-02-11 01:08:37
【问题描述】:
我需要一些有关授权的帮助。到目前为止,我正试图通过内部 rails 授权与设计相结合来解决它。 我有一个用户正在发布请求。如果此请求是私人的,则只有一组“读者”可以看到并回答该请求。 (这是第一名)
然后用户给读者的答案打分。这应该只有收到答案的用户和给出答案的“读者”才能访问。
到目前为止,我使用以下方法来限制对隐藏请求的访问:
before_filter :require_reader!, only: [:open_requests]
但是如果请求没有被隐藏,那么仍然只有读者应该能够回答请求(但所有人都可以看到它)。在这里我不知道如何管理这个。有什么想法吗?
要继续...我无法解决第二个问题(评级只能看到提出请求的人和读者)。 这里有什么想法吗?
cancancan 是一种选择吗?
最好的 维塔利
【问题讨论】:
-
你用什么来定义“读者”这个组? Devise 用于对用户进行身份验证,以便您知道他们是谁,但需要使用您自己的一些逻辑或其他库来管理组成员资格和权限。
-
Cancancan 或 xacml 是要走的路
-
@LisaD:我正在使用 www.railsbricks.net 生成器(真的很酷!),它带有管理功能。我将此应用于“阅读器”。但是问题是我如何限制功能(发布和查看)。每个人都可以看到它,但只有“读者”可以发布答案.. DavidBrossard:谢谢,我会检查 xacml。
标签: devise authorization ruby-on-rails-4.2