Rails 3 公司帐户具有许多用户，限制对数据的访问

Question

我想知道在我的应用程序中构建身份验证/授权的最佳方法。我想要拥有

• 许多公司帐户，可能使用子域

• 帐户有许多用户

• 并且用户只能访问以下记录由他们自己或具有相同帐户的其他用户创建。

我所做的研究提供了许多混合搭配的想法，以奇怪而美妙的方式组合 devise / cancan / authlogic，但我还没有找到任何东西可以向我展示限制用户访问同一数据的最佳方法模型。

例如：

---

帐户 1：Eurasia

用户 1：Bob

用户 2：Jim

---

帐户 2：Eastasia

用户 1：Dave

用户 2：Alan

---

Isbn 1：account_id 为 1

Isbn 2：account_id 为 2

---

如何确保 Bob 无法访问还是粗略的 Isbn 2？

///更新 当然，现在我已经发布了这个，我的 google fu 已经启动，我找到了 RyanB 的自述文件 CanCan 2.0，看起来很完美：

>资源

如果您需要根据模型更改授权该怎么办 属性？您可以通过传递条件散列作为最后一个来做到这一点 论证可以。例如，如果您只想允许一个人访问 他拥有的项目可以设置 :user_id 选项。

Answer 1

我建议使用 CanCan 进行授权。

您的能力模型看起来像这样

can :manage, :isbn do |isbn|
  isbn.account == current_user.account
end

然后您可以使用条件语句，例如 can? :manage, @post 在你的控制器/视图中。

Answer 2

你应该看看 https://github.com/stffn/declarative_authorization 我认为人们确实这样做正如您所要求的（您可以限制对某些记录的访问），

因此，在您的示例中，您可以使用如下方式设置授权：

has_permission_on :isbn do 
    to :manage
    if_attribute :account_id => is_in {user.account_ids}
end

Answer 3

你看过XACML吗？它是一个基于策略的声明性授权框架。这也是 OASIS 的标准。

使用 XACML，您可以获取所需的任何属性（用户、资源、操作或上下文属性）并表达您拥有的用例。

您最初的要求是

用户只能访问由自己或具有同一帐户的其他用户创建的记录。

在 XACML 中，这将成为以下策略：

当且仅当 record.owner==user.id OR 时，用户才能访问记录
user.accountId==record.accountId

就这样！ XACML 的架构定义了策略执行点 (PEP)，它是保护您的应用程序/数据并将授权请求发送到策略决策点 (PDP) 的组件。
PEP 说：“Alice 可以访问记录 #123 吗？”
PDP 检查 Alice 的帐户 ID 和记录的帐户 ID 以及所有者。
PDP 最终返回“许可”或“拒绝”。

华泰