Rails 中使用数据库的动态角色授权。声明式授权是最佳选择吗？

Question

我需要提供动态角色分配（角色/权限）。更清楚地说，最终用户应该能够创建角色，向新用户分配权限。所以我正在考虑将每个用户的角色和权限存储在一个表中。

有没有一种聪明的方法来做到这一点（任何其他插件？），或者我应该编写代码来使用声明性授权来做到这一点。一些光会有所帮助。谢谢！

Answer 1

尝试回答这些问题以更接近解决方案：

1. 角色本身是动态的吗？即管理员可以通过 Web 界面更改分配给各种角色的权限吗？如果是，那么您应该将此信息存储到数据库中。对于像博客这样的系统，角色是预先定义的，例如。管理员、访客和主持人、声明性授权就像一个魅力。
2. 权限与 UI 的耦合有多强？ （有时，您只需要限制几个地方，在其他情况下，例如社交网络，权限要复杂得多，并且与 UI 紧密耦合）。如果它的耦合非常紧密，即一个操作可用于所有类型的角色，但这些角色执行的操作受到其定义的限制，那么声明性授权（或类似的）不会有太大帮助，您需要一个遗留系统。

Answer 2

我最近在一个项目中使用了 CanCan ，觉得它非常酷。您创建一个能力类并使用它来决定用户是否“可以”执行该操作...您可以检查方法中表中是否存在权限，或者他们的规则集是否允许该操作。

我从 github 自述文件中获取了所有示例代码：

class Ability
  include CanCan::Ability

  def initialize(user)
    if user.admin?
      can :manage, :all
    else
      can :read, :all
    end
  end
end

然后在您的视图和控制器中您可以检查授权级别

<% if can? :update, @article %>
  <%= link_to "Edit", edit_article_path(@article) %>
<% end %>


def show
  @article = Article.find(params[:id])
  authorize! :read, @article
end

Answer 3

Cancan 非常适合简单/启动项目，但如果您有一个整体应用程序，您绝对应该包装它。康康舞应该是一个早期的解决方案，但不是最终的解决方案。如果您查看策略对象（专家），它可能是您需要构建自己的授权模型的代码味道。像集成这样的授权因客户而异，如果您正在寻找更动态的解决方案或者您有太多角色可言，cancan 不适合您。您可能需要一个更加数据驱动的安全模型。例如，如果您可以授予其他人访问某个实体的权限。