当我以其他用户身份登录时访问 users/1/edit
不会引发 AccessDenied 错误,我不知道为什么:
authorize_resource only: [:edit, :update]
def edit
@user = User.find(params[:id])
end
def update
@user = User.find(params[:id])
if @user.update_attributes(params[:user])
redirect_to @user
else
render 'edit'
end
end
能力等级:
class Ability
include CanCan::Ability
def initialize(user)
user ||= User.new
can :read, :all
can :create, User
can :create, Group
can :update, User, id: user.id
end
end
如果我将 authorize_resource
更改为 load_and_authorize_resource
那么它会按预期工作。但这肯定不应该相关吗?
最佳答案
您的代码仅授权用户访问编辑和更新操作,而不是 @user
对象
您必须像这样手动授权对象
试试这个,
def edit
@user = User.find(params[:id])
authorize! :update, @user
end
def update
@user = User.find(params[:id])
authorize! :update, @user
if @user.update_attributes(params[:user])
redirect_to @user
else
render 'edit'
end
end
关于ruby-on-rails - CanCan 在应该阻止访问时却没有阻止,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12860146/