拒绝未经授权的用户编辑配置文件

Question

我正在尝试进行设置，以便用户在单击不属于他们的配置文件的编辑时将收到“未经授权”的消息。这个消息当然不应该出现在管理员身上，因为管理员可以编辑所有配置文件。我之前在Permission.rb上完成了这个工作，但是我摆脱了这个文件，使用了更基本的用户角色/授权。

我看不到我如何实现我以前在Permission.rb上的当前文件。我尝试了一些解决方案，但他们不加起来。如果有人能指出我会朝好的方向发展。此外，我正在从头开始，用户认证/授权。

index.html.erb：

<% @users.each do |user| %> 
    <li> 
     <% if current_user.admin? || current_user == @user %> 
     <% end %> 
     <%= link_to "Edit #{user} profile", user %> 

      | <%= link_to "delete", user, method: :delete, 
              data: { confirm: "You sure?"} %> 
     </li> 
     <% end %> 

Answer 1

你为什么让用户有机会来编辑其他人的个人资料？

首先，您应该在视图中有一个if声明，在该声明中显示编辑页面的链接。我想这是显示在每个用户的个人资料，所以我想在你的控制器代码是这样的：

def show 
    @user = User.find(params[:id]) 
end 

然后在你看来，你应该有这样的事情：

<% if current_user.admin? || current_user == @user %> 
    <%= link_to 'Edit Profile' , edit_user_path(@user) %> 
<% end %> 

还有一种情况下，如果有人试图“迫使”他们的方式，就像试图键入URL www.yourapplication.com/users/6/edit你可以写在你的控制器一个before_filter方法：

before_filter :check_privileges, only => [:edit, :update] 

然后写在名为check_privileges

def check_privileges 
    unless current_user.admin? || current_user.id == params[:id] 
    flash[:warning] = 'not authorized!' 
    redirect_to root_path 
    end 
end 

编辑的方法：提问编辑自己的代码后，我展示的错误：

你把end太快：

<% @users.each do |user| %> 
    <li> 
     <%= link_to user.name, user %> 
     <% if current_user.admin? || current_user == @user %> 
      <%= link_to "Edit #{user} profile", user %> 
      | <%= link_to "delete", user, method: :delete, 
              data: { confirm: "You sure?"} %> 
     <% end %> 
    </li> 
<% end %>