NO.1 引入cancancan和rolify
gem 'cancancan', '~>1.10'
gem "rolify"
bundle
生成ability模型
rails g cancan:ability
rails g rolify Role Admin
Admin为之前devise用登录模型
NO.2 在需要进行权限验证的控制器里里加上load_and_authorize_resource,例如:
class Admins::AdminsController < ApplicationController
load_and_authorize_resource
这样就可以对整个控制器的所有动作进行验证,而不需要手动的对每个动作进行验证
运行项目后访问admins控制器后,报错
undefined local variable or method `current_user' for #
因为我的项目中用登录注册的模型为admin,所以current_user这个方法是不存在的,需要把他改掉
在ApplicationController中,将current_user 替换为current_admin:
alias_method :current_user, :current_admin
刷新后,依然报错:
ArgumentError in Admins::AdminsController#index
这是rolify自带的一个bug,暂未修复,解决办法是将:
belongs_to :resource,
:polymorphic => true,
:optional => true
改为
belongs_to :resource,
:polymorphic => true
NO.3 rolify的主要作用是用来关联用户和角色的。
它封装了2个主要的方法:
add_role :admin,用来添加角色;
has_role? :admin, 判断是否有这个角色;
在新建用户的是时候,将角色和用户关联起来,params[:role]为页面上传过来的参数
def create
admin = Admin.new(admin_params)
if admin.save
admin.add_role params[:role]
respond_to do |format|
format.html
format.js
end
else
render 'new'
end
end
角色和用户关联成功。
NO.4 接下来就是在views里面和ablity.rb里面设置具体权限。
例如:如果有创建服务的权限,在服务模板的视图中做如下控制:
<% if can? :create, Service %>
- <%= link_to '添加服务', new_admins_service_path %>
<% end %>
- <%= link_to '服务列表', admins_services_path %>
在ablity.rb中,做如下控制:
class Ability
include CanCan::Ability
def initialize(user)
if user.blank?
cannot :manage, :all
####超级管理员权限####
elsif user.has_role? :admin
can :manage, :all
####店长权限####
elsif user.has_role? "店长"
#####显示属于自己的店铺#####
can :show, Shop do |shop|
(shop.admin_id == user.id)
end
#####显示属于自己店铺列表#####
can :my_shop, Shop do |shop|
(shop.admin_id == user.id)
end
####编辑修改属于自己的店铺####
can :update, Shop do |shop|
(shop.admin_id == user.id)
end
#######切换店铺开关状态#######
can :switch, Shop do |shop|
(shop.admin_id == user.id)
end
######管理所有本店铺的理发师######
can :manage, Barber
####管理本店铺的服务####
can :manage, ShopService
####查看所有的服务模板####
can :read, Service
###看到属于自己的订单统计###
can :stat, Order
end
end
end
所以,当角色为店长的用户登录的时候,是视图中,是看不见"添加服务"这个选项的,因为can :read, Service,而视图中需要创建权限才能看到。
NO.5 当控制器中的某个action没有对应的具体model时,该如何处理
在控制中加入load_and_authorize_resource的时候,可以指定class
class Admins::StatsController < ApplicationController
include ::Wechat::OrdersHelper
load_and_authorize_resource :class => "Order"
def stat
@orders = initialize_grid(
Order,
include: :barber,
conditions: ['shop_id = ?', current_admin.shop],
per_page: 20
)
end
在ablity.rb中,做如下控制:
can :stat, Order
NO.6 权限类别说明
权限类别说明 :manage, :all, ..etc.
cancan 里面用了一些自定义缩写,如 :manage、:read、:update、:all,让人不知道在做神马。
:manage: 是指這個 controller 內所有的 action
:read : 指 :index 和 :show
:update: 指 :edit 和 :update
:destroy: 指 :destroy
:create: 指 :new 和 :crate
而 :all 是指所有 object (resource)
當然,不只是 CRUD 的 method 才可以被列上去,如果你有其他非 RESTful 的 method 如 :search,也是可以寫上去..,只是要一條一條列上去,有點麻煩就是了。
組合技:alias_action
cancan 還提供了組合技,要是嫌原先的 :update, :read 這種組合包不夠用。還可以用 alias_action 自己另外再組。例如把 :update 和 :destroy 組成 :modify。
alias_action :update, :destroy, :to => :modify
can :modify, Comment
参考资料:
cancancan
rolify
Cancan 實作角色權限設計的最佳實踐(1)
Cancan 實作角色權限設計的最佳實踐(2)
Cancan 實作角色權限設計的最佳實踐(3)