этот вопрос относится к этому конкретному вопросу.
Я использую pundit в качестве драгоценного камня авторизации и хочу, чтобы пользователь X мог загрузить только информацию о пользователе, принадлежащую пользователю X. Прямо сейчас у меня есть http://localhost:3000/download.csv в качестве моей ссылки для получения информации о пользователе. Но если я вошел в систему под другим пользователем, например, пользователем/2, я все равно могу ввести URL-адрес и загрузить данные пользователя/3.
Что у меня есть прямо сейчас:
user_policy.rb
class UserPolicy < ApplicationPolicy
def profile?
true
end
def download?
end
private
def user_or_admin
user.id == record.id || user.admin?
end
end
application_policy.rb
class ApplicationPolicy
attr_reader :user, :record
def initialize(user, record)
@user = user
@record = record
end
def index?
false
end
def show?
scope.where(:id => record.id).exists?
end
def create?
create?
end
def new?
create?
end
def update?
false
end
def edit?
update?
end
def destroy?
false
end
class Scope
attr_reader :user, :scope
def initialize(user, scope)
@user = user
@scope = scope
end
def resolve
scope.all
end
end
end
Это мой user_controller.rb # это не user_controller, это разные представления
class UserController < ApplicationController
prepend_view_path(File.join(Rails.root, 'app/views/user/'))
layout 'application'
def index
end
def billing
end
def plan
end
def profile
@user = User.find(params[:id])
@user_posts = @user.posts.order('created_at DESC')
end
end
def download
@user = User.find(params[:id])
respond_to do |format|
format.html
format.csv { send_data @user.csv, filename: "userinfo-#{Date.today}.csv" }
end
end
def support
@user = User.find(params[:id])
@user_posts = @user.posts.order('created_at DESC')
end
def notifications
end
def show
@user = User.find(params[:id])
@posts = current_user.posts.order('created_at DESC')
@user_posts = @user.posts.order('created_at DESC')
end
Обновление: как было предложено, я попытался реализовать новое действие загрузки в моем user_controller и попытался использовать этот код в своем представлении:
<p><%= link_to("Export data as CSV", download_path(@user, format: :csv), { :controller => :user, :action => :download }, class: "btn btn-success") %></p>
но это вызывает следующую ошибку:
Получить неизвестное действие — не удалось найти действие «загрузить» для UserController.
routes.rb
Rails.application.routes.draw do
get 'legal/privacy'
get :datenschutz, to: 'legal#terms_of_service'
devise_for :users, path_names: { sign_in: 'login', sign_out: 'logout', sign_up: 'registrieren', edit: 'bearbeiten' }, :controllers => { registrations: 'registrations' }
get '/users/mitteilungen/:id' => 'user#notifications'
get '/users/:id/artikel/', :to => 'user#support', :as => :artikel
get '/users/plan' => 'user#plan'
get '/users/billing' => 'user#billing'
get '/users/:id', :to => 'user#profile', :as => :user
get 'download', :to => 'user#download', :controller => :user, action: :download, :as => :download
resources :posts, path: :news do
resources :comments, path: :kommentare do
end
end
devise_scope :user do
resources :posts, path: :news do
resources :comments do
end
end
end
root to: "posts#index", as: :root
end
download
), а затем авторизовать его отдельно отprofile
show с помощью методаdownload?
в политике. - person Mark Merritt   schedule 29.07.2018