Protéger les attributs à mettre à jour

Question

J'ai un site Web RPG et je veux que les utilisateurs puissent définir leur nom lors de l'inscription, mais pas lorsqu'ils modifient leur profil. Mais je veux en tant qu'administrateur pouvoir l'éditer.

Puisque j'utilise update_attributes dans l'action de mise à jour, je pense qu'ils peuvent mettre à jour leur first_name sans utiliser le formulaire classique que je fournis.

Y at-il un moyen de le faire avec des validations ActiveRecord ou simplement dans le contrôleur?

Merci d'avance!

Answer 1

Ajoutez attr_accessible :name, :as => :admin à votre modèle User et dans le contrôleur d'inscription, utilisez @user.update_attributes(params[:user], :as => :admin). L'action update doit utiliser à la place @user.update_attributes(params[:user]) sans l'option :as => :admin.

Plus sur ce sujet: Rails 3.1 Overview

Answer 2

Cela est plus facile à faire par le contrôleur, car le contrôleur est l'endroit où vous avez accès à l'utilisateur connecté. Donc, dans votre contrôleur:

# When the form is submitted 
unless @current_user.is_an_admin? 
    # List of attributes to allow non-admins to change 
    allowed_fields = %w[allowed_field_1 allowed_field_2] 
    # Remove any non-allowed fields from the params 
    params[:user].delete_if {|key, value| !allowed_fields.include?(key.to_s)} 
end 
@user.update_attributes(params[:user]) 

Vous pourrait le faire à travers le modèle de l'utilisateur, mais vous devez avoir un moyen de transmettre le statut de l'utilisateur d'édition au modèle, puis ajoutez un tas de validations conditionnelles .