Rails 路由 devise_for / 资源 CRUD 重叠

发布于 2024-11-14 05:49:58 字数 414 浏览 3 评论 0原文

我已经为我的 User 类设计了工作，并且我正在尝试向用户控制器添加一些 CRUD 方法。我已经阅读过有关此路由的信息，只要 devise_for 出现在 resources 之前，它将优先，否则您将只能通过 /users/ 访问不存在的记录登录或其他什么。反正。

我有我的 CRUD 方法，甚至还有一些资源。假设用户有很多财产。我可以通过 /users/1/possessions/1 查看财产，但是当我尝试删除它时，我无权访问 Devise current_user 方法。我可以通过使用 params[:user_id] 查找用户，然后通过 params[:id] 查找它的财产来删除，但如果我只希望登录的用户能够删除他/她自己的财产，那么这并不真正安全。

如何在我的用户模型的 CRUD 方法中使用 Devise 的方法？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

假面具 2024-11-21 05:49:58

在 Ruby on Rails 的模型中使用“current_user”

http://rails-bestpractices.com/posts/47-获取模型中的当前用户

回复收藏 0 原文

春风十里 2024-11-21 05:49:58

更好的做法可能是不要将所有物路由嵌套在用户下，而是将其单独作为 /possessions/1 并在您的所有物控制器中以限制当前用户的所有发现，即

def index
  @possessions = current_user.possessions
end

def edit
  @possession = current_user.possessions.find(params[:id])
  ...
end

：这样您就可以确保用户只能看到自己的物品，并且如果他们尝试访问其他人的物品，他们将收到 404。

继承资源使这变得非常容易，因此您可以像这样编写控制器代码：

class ProjectsController < InheritedResources::Base
  protected
    def collection
      @projects ||= end_of_association_chain.paginate(:page => params[:page])
    end
end

A better practise might be to not nest the possessions route under user, instead have it on its own as /possessions/1 and the in your possessions controller to scope all of your finds by the current_user i.e.:

def index
  @possessions = current_user.possessions
end

def edit
  @possession = current_user.possessions.find(params[:id])
  ...
end

That way you can be sure that the user will only ever be able to see their own items, and they will receive a 404 if they tried to access someone else's possessions.

Inherited Resources makes this really easy to do, so you can code your controllers like this:

class ProjectsController < InheritedResources::Base
  protected
    def collection
      @projects ||= end_of_association_chain.paginate(:page => params[:page])
    end
end

回复收藏 0 原文

~没有更多了~