उपयोगकर्ता अनुमतियों के आधार पर रेल 3 ActiveRecord सत्यापन

Question

मैं रेल पर रूबी (संस्करण 3) में गैर-मानक कस्टम PHP ढांचे में बनाए गए एप्लिकेशन से कोड स्थानांतरित कर रहा हूं। PHP संस्करण में सभी नियंत्रक वास्तव में वसा वाले होते हैं, पतले मॉडल के साथ, जिन्हें मैं हमेशा से असहमत हूं, इसलिए मैं मॉडल स्तर पर रेल के सत्यापन के तरीके का आनंद ले रहा हूं, जो शायद इन वसा नियंत्रकों में क्या हो रहा है का 9 0% वर्तमान में।

एक समस्या का सामना करना पड़ रहा है, और यह सुनिश्चित करने के लिए अनिश्चित है कि मॉडल को बदलने के आधार पर अलग-अलग सत्यापन नियमों के आधार पर यह अलग-अलग सत्यापन नियमों का है। उदाहरण के लिए, एक व्यवस्थापक, या रिकॉर्ड का मूल निर्माता रिकॉर्ड को ध्वजांकित करने के लिए सक्षम होना चाहिए (सॉफ्ट डिलीट) जबकि सभी को नहीं करना चाहिए।

class Something < ActiveRecord::Base 
    ... 
    validates :deleted, :owned_by_active_user => true 
    ... 
end 

class OwnedByActiveUserValidator < ActiveModel::EachValidator 
    validate_each(record, attr_name, attr_value) 
    # Bad idea to have the model know about things such as sessions? 
    unless active_user.admin? || active_user.own?(record) 
     record.errors.add :base, "You do not have permission to delete this record" 
    end 
    end 
end 

के बाद से मॉडल ही (सिद्धांत में) उपयोगकर्ता के लिए जो परिवर्तन कर रहा है के बारे में पता, क्या बात की इस तरह करने के लिए "जिस तरह से रेल" क्या है? क्या मुझे सक्रिय उपयोगकर्ता को रिकार्ड पर वर्चुअल एट्रिब्यूट (वास्तव में डीबी में सहेजा नहीं गया) के रूप में सेट करना चाहिए, या क्या मुझे इन चेक को नियंत्रक में करना चाहिए? मुझे स्वीकार करना है, सक्रिय उपयोगकर्ता पर मॉडल जांच अनुमतियां अजीब लगती हैं, और जब मॉडल का परीक्षण करने की बात आती है तो जटिलता बढ़ जाती है।

एक कारण मैं मॉडल में जितना संभव हो उतना अधिक रखने के इच्छुक हूं, क्योंकि मैं एक एपीआई (ओएथ पर पहुंच गया) और एक वेबसाइट दोनों प्रदान करना चाहता हूं, बिना बहुत अधिक कोड डुप्लिकेट किए, जैसे कि अनुमतियों के प्रकार के प्रकार।

Answer 1

यह वास्तव में प्राधिकरण को संभालने के लिए नियंत्रक का काम है, या प्राधिकरण परत को प्राधिकरण देने के लिए है। मॉडल को इसके बारे में पता नहीं होना चाहिए, न ही इस बारे में परवाह करना चाहिए, वर्तमान में कौन लॉग इन है और उसकी अनुमति क्या है - यह नियंत्रक का काम है, या जो कुछ भी सहायक सहायक परत नियंत्रक प्रतिनिधि करता है।

आप new, create, या update_attributes के माध्यम से बड़े पैमाने पर काम करने के लिए :deleted in- attr_accessible बनाना चाहिए। नियंत्रक को अधिकृत उपयोगकर्ता के प्राधिकरणों को अलग से जांचना चाहिए और प्रमाणीकृत उपयोगकर्ता अधिकृत होने पर deleted= अलग से कॉल करना चाहिए।

प्राधिकरण के साथ सहायता करने या प्राधिकरण परत के रूप में कार्य करने के लिए कई प्राधिकरण पुस्तकालयों और ढांचे हैं, जैसे कि cancan।

Answer 2

मैं अपने मॉडल में मान्यताओं के बजाय, मेरे नियंत्रक में before_filter के साथ इसे हल कर दूंगा।

class SomethingController < ApplicationController 
    before_filter :require_delete_permission, :only => [:destroy] 

    def destroy 
    # delete the record 
    end 

    private 

    def require_delete_permission 
    unless current_user.is_admin || record.owner == current_user 
     flash[:error] = 'You do not have delete permissions' 
     redirect_to somewhere 
    end 
    end 
end 

Answer 3

मैं रेल 2.3 में एक ही मुद्दे पर आया हूं और अंत में इस समाधान के साथ आया हूं। आपके मॉडल में आप कुछ एट्रिब्यूट को परिभाषित करते हैं, जिस पर आप सत्यापन चालू/बंद करते हैं। की तुलना में अपने नियंत्रण आप आप तारीख नियंत्रक (जैसे आपके मामले में उपयोगकर्ता विशेषाधिकार के रूप में) के लिए उपलब्ध के आधार पर इस विशेषता सेट इस प्रकार है:

Class Model < ActiveRecord::Base 
    attr_accessor :perform_validation_of_field1 #This is an attribute which controller will use to turn on/off some validation logic depending on the current user 

    validates_presence_of :field1, :if => :perform_validation_of_field1 
    #This validation (or any similar one) will occur only if controller sets model.perform_validation_of_field1 to true. 
end 

Class MyController < ActionController::Base 
    def update 
    @item = Model.find(params[:id]) 
    @item.update_attribute(params[:item]) 

    #The controller decides whether to turn on optional validations depending on current user privileges (without the knowledge of internal implementation of this validation logic) 
    @item.perform_validation_of_field1 = true unless active_user.admin? 

    if @item.save 
     flash[:success] = 'The record has been saved' 
     redirect_to ... 
    else 
     flash.now[:error] = 'The record has not passed validation checks' 
     render :action => :edit 
    end 
    end 

मुझे लगता है कि रेल 3 में यह समान तरीके से किया जा सकता है।