看完约
attr_accessible in the Rails 3.1 API后,我看到有一个as:admin选项.我想知道两件事情.
>如果用户有管理员标志,我的控制器如何告诉我的模型该用户是一个管理员.
>如果用户是所有者,可以指定:as =>我的模型中的所有者,再次,我的控制器如何通知我的模型,他们是一个项目的所有者.
解决方法
没有内置的型号整合;你在assign_attributes调用中传递角色:
@project.assign_attributes(params[:project],:as => :admin)
the:as参数默认为:default,您可以传入所需的任何符号.要将其整合到您的用户模型中,您可以给它一个名为role的属性,然后执行以下操作:
@project.assign_attributes(params[:project],:as => current_user.role.to_sym)
您也可以绕过保护:without_protection:
@project.assign_attributes(params[:project],:without_protection => true)
以类似的方式,新建,创建,创建!,update_attributes和update_attributes!方法全部尊重质量分配安全. Ruby on Rails guide on security有more info.