Pundit 政策的嵌套资源

Posted 2023-04-13

【中文标题】Pundit 政策的嵌套资源

【英文标题】：Nested Resources For Pundit Policy

【发布时间】：2017-09-19 03:57:54

【问题描述】：

我仍在努力理解 Pundit 的政策。我想我已经很接近了，但我浪费了太多时间试图弄清楚这一点。我的帖子政策效果很好，但尝试授权 cmets，我收到未定义的错误...

cmets_controller.rb

class CommentsController < ApplicationController
before_action :find_comment, only: [:show, :edit, :update, :destroy]
before_action :authenticate_user!, except: [:index, :show]

def create
    @post = Post.find(params[:post_id])
    @comment = @post.comments.create(params[:comment].permit(:comment))
    @comment.user_id = current_user.id if current_user
authorize @comment
    @comment.save

    if @comment.save
        redirect_to post_path(@post)
    else
        render 'new'
    end
end

def edit
authorize @comment
end

def update
authorize @comment
    if @comment.update(params[:comment].permit(:comment))
        redirect_to post_path(@post)
    else
        render 'edit'
    end
end

def destroy
authorize @comment
@comment.destroy
redirect_to post_path(@post)
end

private

  def find_comment
    @post = Post.find(params[:post_id])
    @comment = @post.comments.find(params[:id])
  end
 end

comment_policy.rb

class CommentPolicy < ApplicationPolicy

  def owned
    comment.user_id == user.id
  end

  def create?
    comment.user_id = user.id
    new?
  end

  def new?
    true
  end

  def update?
   edit?
  end

  def edit?
    owned
  end

  def destroy?
    owned
  end
end

格式和缩进有点不对...我发誓我不是这样编码的

  class ApplicationPolicy
    attr_reader :user, :post

    def initialize(user, post)
      raise Pundit::NotAuthorizedError, "must be logged in" unless user
      @user = user
      @post = post
    end

    def index?
      false
    end

    def show?
      scope.where(:id => post.id).exists?
    end

    def create?
      false
    end

    def new?
      create?
    end

    def update?
      false
    end

    def edit?
      update?
    end

    def destroy?
      false
    end

    def scope
      Pundit.policy_scope!(user, post.class)
    end

    class Scope
      attr_reader :user, :scope

      def initialize(user, scope)
        @user = user
        @scope = scope
      end

      def resolve
        scope
      end
    end
  end

【问题讨论】：

你能显示你的错误详情以及它发生在哪里吗？

我认为您应该在您的政策中使用 record 而不是 comment

不确定您的意思。我没有“记录”模型，只有“评论、用户和帖子”

您继承自 ApplicationPolicy。它将您的对象实例化为record。请注意，您没有定义#initialize？因为您使用的是超类'。

尝试将`comment.user_id`更改为`record.user_id`

【参考方案1】：

您在 ApplicationPolicy 中将资源初始化为 @post。由于您的 CommentPolicy 继承自 ApplicationPolicy 并使用其初始化，因此它只能访问 @post。最好的选择是将其保留为record:

  class ApplicationPolicy
    attr_reader :user, :record

    def initialize(user, record)
      raise Pundit::NotAuthorizedError, "must be logged in" unless user
      @user = user
      @record = record
    end
    ## code omitted
  end

  class CommentPolicy < ApplicationPolicy
    def owned
      record.user_id == user.id
    end
    ## code omitted
  end

基本上，您可以随意称呼它，但record 更有意义，因为它将用于不同的策略子类。

【讨论】：

在我完全复制了您所拥有的内容后，仍然出现相同的“未定义”错误。 Post 在 PostPolicy 类中未定义。以防万一，用户有很多帖子，帖子有很多cmet。

您还需要将 PostPolicy 中对 post 的引用更改为 record。在所有策略类中将资源称为 record。

已修复，谢谢！

当然。很高兴它有帮助。