Devise travaille dans mon application Rails mais je n'arrive pas à comprendre comment le verrouiller pour qu'un utilisateur puisse seulement modifier son propre enregistrement dans la table users ET dans les tables appartenant à l'utilisateur.Configuration Configurer pour autoriser uniquement la modification de ses propres enregistrements?
Qu'est-ce qui me manque ici? Est-ce fait dans le contrôleur ou le modèle?
je créerais une aide dans application_controller pour current_user et éliminer l'utilisation de User.find
La façon la plus simple de créer une autorisation est avec un drapeau booléen (admin vrai/faux). Pour d'autres solutions simples sont cancan, comme mentionné par Yannis ou easy_roles KISS est recommandé de commencer avec. Vous pouvez mettre en œuvre l'action de modifier comme celui-ci
def edit
if current_user.is_admin?
User.find(params[:id])
else
current_user
end
end
application_controller.rb
def current_user
UserSession.find
end
Pour limiter l'accès par l'utilisateur, comme un utilisateur ayant ses propres tâches/le sien, faire.
def index
@tasks = current_user.tasks
end
Devise est une solution d'authentification. Vous avez maintenant besoin d'un système d'autorisation. Jetez un coup d'œil à Ryan Bates CanCan (github, railscasts).
Ah, je me demandais à ce sujet. Merci. –
Merci, c'est génial. –