Мне нужна помощь с авторизацией. До сих пор я пытался решить эту проблему с помощью внутренней рельсовой авторизации в сочетании с разработкой. У меня есть пользователь, который отправляет запрос. Если этот запрос является приватным, только группа «читателей» может видеть и отвечать на запрос. (Это номер один)Авторизация с помощью Devise и нескольких уровней
Затем пользователь дает оценку ответа читателя. Это должно быть доступно только для пользователя, который получил ответ и «читателя», который дал ответ.
До сих пор я использовал следующее, чтобы ограничить доступ к скрытым запросам:
before_filter :require_reader!, only: [:open_requests]
Но если запрос не скрыт, чем до сих пор только читатель должен быть в состоянии ответить на запрос (но может все видеть это). Здесь я не знаю, как это сделать. Есть идеи?
Чтобы продолжить ... Мне не удалось решить вторую проблему (что рейтинг рассматривается только тем, кто размещал запрос и читателя). Любые идеи здесь?
Возможно ли cancancan вариант?
Лучшие witali
Что вы используете для определения группы «читателей»? Devise используется для аутентификации пользователя, чтобы вы знали, кто он, но некоторые из вашей собственной логики или другой библиотеки должны использоваться для управления членством в группе и разрешениями. – LisaD
Cancancan или xacml - это путь –
@LisaD: Я использую генератор www.railsbricks.net (действительно круто!), И он поставляется с функцией администратора. Я применил это к «читателю». Однако возникает вопрос, как ограничить функциональность (сообщение и представление). Каждый может это увидеть, но только «читатель» может отправить ответ. DavidBrossard: Спасибо, я проверю xacml. – ertix4248