- Сообщений: 887
- Спасибо получено: 128
- Начало
- Проекты и клиенты
Projects & Clients
- Сотрудничество
- Веблаборатория
E-commerce
Programming
Twitter-инструментарий на Ruby on Rails
Виджет amoCRM: экспорт данных в Google Docs
Alternative caching Joomla module
API Яндекс Метрика и Highcharts
JavaScript SELECT. Динамические списки
Extended weather informer. Weather Underground
Снова про курс валют Центробанка, про cross-origin и джаваскрипты
Joomla extensions by Masterpro
jTriad contact form - контактная форма для Joomla
jExchange rates CBR, модуль Joomla 3
Joomla: интернет-магазин без VirtueMart. K2Store
jWeather by ip. Погода по ip для Joomla!
CSV Improved. Настройка импорта из csv-файла в VirtueMart
Подарок бухгалтеру, или КЛАДР для Community Builder
Joomla и SuperJob: вакансии по API
- Блог
- Форум
IT-C@FE
- Home
- Форум
- Форум
- Ruby / Ruby on Rails
- Ruby on Rails: Only allow owner of data to access
Вопрос Ruby on Rails: Only allow owner of data to access
- serge
-
Автор темы
- Не в сети
- Moderator
-
Меньше
Больше
2 года 10 мес. назад #1
от serge
А я смогу! - А поглядим! - А я упрямый!
serge создал тему: Ruby on Rails: Only allow owner of data to access
Рано или поздно (но скорее рано) перед каждым rails-разработчиком возникает эта проблема: как ограничить доступ к определенным экшенам для тех или иных пользователей приложения. Как разрешить только автору редактировать свои собственные коменты в блоге, а только админу - их удалять, как разрешить доступ к пользовательским ресурсам, хранящимся в db, только их владельцу, например. Плюс любые, разумеется, варианты. Опять же как вариант: можно сходу поставить cancancan или pundit (или еще сотня названий гемов), отредактировать class Ability. Но - всегда ли в этом есть необходимость?
Далее привожу эффектный пример, способ ограничить доступ к ресурсам юзера, создаваемых посредством стандартной формочки scaffold:
средствами rails, без установки дополнительных гемов. Мало ли пригодится кому. Итак, users can access their campaigns as this:
CampaignsController
Далее привожу эффектный пример, способ ограничить доступ к ресурсам юзера, создаваемых посредством стандартной формочки scaffold:
rails generate devise User
rails generate scaffold Campaign name:string user:belongs_toсредствами rails, без установки дополнительных гемов. Мало ли пригодится кому. Итак, users can access their campaigns as this:
current_user.campaignsCampaignsController
def show
#this will search only within current user campaigns.
@campaign = current_user.campaigns.find_by(id: params[:id]).
if campaign
#this campaign exists and its from current_user
...
end
end
def index
#only this user campaigns
@campaigns = current_user.campaigns
end
def new
@campaign = current_user.campaigns.build
end
def create
#This campaign is created with user_id = current_user.id
@campaign = current_user.campaigns.build(campaign_params)
@campaign.save
end
private
def campaign_params
params.require(:campaign).permit(:name)
endА я смогу! - А поглядим! - А я упрямый!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Masterpro.ws © 2009 - 2020 Ruby and PHP Development. Web Studio