Программа урока
- Аутентификация пользователя
- Авторизация пользователя
gem "pundit"
rails g pundit:install
class ApplicationController < ActionController::Base
include Pundit::Authorization
end
class PostPolicy
attr_reader :user, :post
def initialize(user, post)
@user = user
@post = post
end
def update?
user.admin? || !post.published?
end
end
# или
class PostPolicy < ApplicationPolicy
def update?
user.admin? || !record.published?
end
end
class PostsController < ActionController
def update
@post = Post.find(params[:id])
authorize @post
if @post.update(post_params)
redirect_to @post
else
render :edit
end
end
# Вторым параметром можно передать имя привилегии, которое нужно проверить, если имя экшена отличается
def publish
@post = Post.find(params[:id])
authorize @post, :update?
@post.publish!
redirect_to @post
end
end
# Если нет конкретного инстанса для которого нужно проверить права, можно проверить права по имени класса
class PostPolicy < ApplicationPolicy
def admin_list?
user.admin?
end
end
def admin_list
authorize Post # we don't have a particular post to authorize
# Rest of controller action
end
# Использование политики в шаблоне
# <% if policy(@post).update? %>
# <%= link_to "Edit post", edit_post_path(@post) %>
# <% end %>
# <% if policy(Post).new? %>
# <%= link_to "Create post", new_post_path %>
# <% end %>
Самостоятельная работа
В этом задании мы добавим авторизацию, чтобы управлять пользователями и контентом. Добавим разделение пользователей, а также создадим административный раздел для управления сущностями. Это позволит обеспечить безопасный доступ к функциям управления в приложении.
Создайте Rails-проект, если его еще нет.
- Подключите гем pundit.
- Убедитесь, что в проекте есть модель Пользователя, и есть аутентификция. Если аутентификации нет, то подключите ее. Например с помощью гема devise.
- Добавьте в модель Пользователя поле роли или флаг is_admin. Это позволит отличать обычных пользователей от админов.
- Добавьте в проект административный раздел для управления сущностями. К примеру http://example.com/admin/users - страница управления пользователями.
- Добавьте в навигацию ссылку на админку. Отображайте ее только для администраторов. Используйте pundit для условия отображения ссылки.
В результате в вашем Rails-проекте будет реализована система авторизации, обеспечивающая доступ к административному разделу для управления пользователями и контентом.
hexlet-cv - Пример проекта с реализацией админки и механизма авторизации.
Дополнительные материалы
Для полного доступа к курсу нужен базовый план
Базовый план откроет полный доступ ко всем курсам, упражнениям и урокам Хекслета, проектам и пожизненный доступ к теории пройденных уроков. Подписку можно отменить в любой момент.
