Mass-Assignment角色问题在控制器规范

Question

我正在开发一个应用程序使用Devise。 因为我需要一个用户界面来管理用户，所以我还生成了一个控制器和关联的视图来执行用户模型上的所有CRUD操作。

然后我创建一个“角色”字段，我使用CanCan和作为一个群体分配角色。

现在，我试图让所有的规格正确，我有这个测试

describe "POST create" do 
    describe "with valid params" do 
    it "creates a new User" do 
     expect { 
     post :create, {:user => valid_attributes} 
     }.to change(User, :count).by(1) 
    end 
    # ... 
    end 
end 

在执行时提出：

UsersController POST create with valid params creates a new User 
Failure/Error: post :create, {:user => valid_attributes} 
ActiveModel::MassAssignmentSecurity::Error: 
    Can't mass-assign protected attributes: name, surname, role 
# ./spec/controllers/users_controller_spec.rb:62:in `block (5 levels) in <top (required)>' 
# ./spec/controllers/users_controller_spec.rb:61:in `block (4 levels) in <top (required)>' 

而且在我的控制器＃创建方法定义为 类UsersController < ApplicationController中 load_and_authorize_resource

# GET /users 
    # GET /users.json 
    def index 
    respond_to do |format| 
     format.html # index.html.erb 
     format.json { render json: @users } 
    end 
    end 

    # GET /users/1 
    # GET /users/1.json 
    def show 
    respond_to do |format| 
     format.html # show.html.erb 
     format.json { render json: @user } 
    end 
    end 

    # GET /users/new 
    # GET /users/new.json 
    def new 
    respond_to do |format| 
     format.html # new.html.erb 
     format.json { render json: @user } 
    end 
    end 

    # GET /users/1/edit 
    def edit 
    end 

    # POST /users 
    # POST /users.json 
    def create 
    @user = User.new params[:user], :as => current_user.role.to_sym 
    respond_to do |format| 
     if @user.save 
     format.html { redirect_to @user, notice: 'Utente creato con successo.' } 
     format.json { render json: @user, status: :created, location: @user } 
     else 
     format.html { render action: "new" } 
     format.json { render json: @user.errors, status: :unprocessable_entity } 
     end 
    end 
    end 

    # PUT /users/1 
    # PUT /users/1.json 
    def update 
    respond_to do |format| 
    if @user.update_attributes(params[:user], :as => current_user.role.to_sym) 
     format.html { redirect_to @user, notice: 'Profilo aggiornato con successo.' } 
     format.json { head :no_content } 
     else 
     format.html { render action: "edit" } 
     format.json { render json: @user.errors, status: :unprocessable_entity } 
     end 
    end 
    end 

# DELETE /users/1 
    # DELETE /users/1.json 
    def destroy 
    @user.destroy 

    respond_to do |format| 
     format.html { redirect_to users_url } 
     format.json { head :no_content } 
    end 
    end 
end 

为了使rspec与Devise正常运行，我沿用了the official doc，并且我还创建了宏（与此处所述的相同），除非我没有两个不同的FactoryGirl，但是我在创建角色时定义了一个，例如：

FactoryGirl.create(:user, role: :admin) # or role: :user 

这是用户模型

class User < ActiveRecord::Base 
    attr_accessible :email, :password, :password_confirmation, :remember_me 
    attr_accessible :email, :password, :password_confirmation, :remember_me, :name, :surname, :role, :as => :admin 

    devise :database_authenticatable, :recoverable, :rememberable, :trackable, 
     :validatable 

    VALID_ROLES = [:admin, :student] 

    validates_inclusion_of :role, in: VALID_ROLES 

    def is_admin? 
    role == "admin" 
    end 

    def is_student? 
    role == "student" 
    end 
end 

我该如何解决呢？它花了我一整天，我不能让这种:-(

Answer 1

问题是由康康舞的load_and_authorize_resource正在调用User.create造成不容许我申报“：为”含条款的作用

该修复程序实际上是删除对load_and_authorize_resource的调用，并以一种典型的方式创建资源（就像没有cancan一样）。然后在每个方法中调用授权检查，即#create的authorize! :create, User。

也许它也可以使用类似load_and_authorize_resource :except => [:create]的东西，然后手动做到这一点，但我不确定，我没有测试它。

顺便说一句，我已经在这个错误上失去了一个工作日，我真的希望这可以帮助别人有同样的问题。

Answer 2

工作由于Rails的3.2版本又有了实现的一种安全 要改正错误的下面一行添加到您的用户模型：

attr_accessible :name, :surname, :role 

有关详细信息阅读本指南：http://guides.rubyonrails.org/security.html

Answer 3

你让de'post'行中的用户出错。更改此：

post :create, {:user => valid_attributes} 

这样：

post :create, :user => {valid_attributes} 

我假设你的变量 'valid_attributes' 是该类属性的哈希值。