ruby-on-rails – 检查current_user是否是资源的所有者,并允许编辑/删除操作

前端之家收集整理的这篇文章主要介绍了ruby-on-rails – 检查current_user是否是资源的所有者,并允许编辑/删除操作前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
例:

用户A(id = 10)已创建照片资源

photo: (id: 1 user_id = 10,url: "http://...")

现在,如果用户B(id = 20)去这个URL:/ photos / 1 /编辑它可以编辑用户A的照片!!!

默认情况下,Rails Devise为此提供了一些内容?看来这是一个很常见的问题

我只需要允许任何用户可以编辑/删除其创建的资源(其中current_user == resource.user)

使用:Rails 4,Devise

更新:

我觉得CanCan太先进了.我不需要角色或限制某些用户的行为

解决方法

在您的PhotosController中:
before_filter :require_permission,only: :edit

def require_permission
  if current_user != Photo.find(params[:id]).user
    redirect_to root_path
    #Or do something else here
  end
end
原文链接:https://www.f2er.com/ruby/266259.html

猜你在找的Ruby相关文章