Rails 3 中的属性级别授权

Question

我正在使用 devise 进行身份验证，并且我正在寻找一个授权框架，可以让我声明编辑权限具体模型属性。

我在我的应用程序中扮演三个不同的角色：教师、家长和学生。学生模型属于家庭。当教师创建学生时，他们可以设置家庭关联。然而，当家长访问学生的编辑页面时，他们不应该能够更改该关联，而只能查看它。

在视图中，很容易根据查看者来更改表单（例如，禁用或不禁用系列选择输入），但精心设计的表单可以解决此问题。我需要的是当有人试图更改他们不允许更改的属性时会引发某种授权异常的东西。

我目前正在查看 declarative_authorization，但它似乎不够细粒度，无法限制对属性的更改，仅模型作为一个整体。

Answer 1

我最终使用了新的 MassAssignmentSecurity 功能，尽管它看起来像与accepts_nested_attributes_for结合使用可能效果不太好。

Answer 2

我意识到我的答案晚了两年。您需要的是一个足够细粒度的授权框架，这是值得的。

OASIS 的标准 XACML 就提供了这一点。它可以处理任意数量的属性。

请在此处查看我的详细答案： Rails 4 授权 gem