每天一剂Rails良药之Role-Based Authorization

hideto

浏览: 2652350 次
性别:
来自: 北京

最近访客更多访客>>

_Mark24_

lzyfn123

leeyisoft

linziyuu

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Ruby

Rails ActiveRecord Flash UP

我们的系统往往并不只是靠登录这么简单来控制权限，今天我们来看看基于角色的授权
假设我们的系统已经建立了昨天的users表

1，migration

class AddRolesAndRightsTables < ActiveRecord::Migration
  def self.up
    create_table :users_roles, :id => false do |t|
      t.column :user_id, :integer
      t.column :role_id, :integer
    end

    create_table :roles, :do |t|
      t.column :name, :string
    end

    create_table :roles_rights, :id => false do |t|
      t.column :role_id, :integer
      t.column :right_id, :integer
    end

    create_table :rights do |t|
      t.column :name, :string
      t.column :controller, :string
      t.column :action, :string
    end
  end

  def self.down
    drop_table :users_roles
    drop_table :roles
    drop_table :rights
    drop_table :rights_roles
  end
end

2，model

class User < ActiveRecord::Base
  has_and_belongs_to_many :roles
end

class Role < ActiveRecord::Base
  has_and_belongs_to_many :users
  has_and_belongs_to_many :rights
end

class Right < ActiveRecord::Base
  has_and_belongs_to_many :roles
end

3，application.rb

class ApplicationController < ActionController::Base
  layout 'standard'
  before_filter :check_authentication,
                :check_authorization,
                :except => [:signin_form, :signin]
  def check_authentication
    unless session[:user]
      session[:intended_action] = action_name
      redirect_to :controller => :admin, :action => signin_form
      return false
    end
  end

  def check_authorization
    user = User.find(session[:user])
    unless user.roles.detect{|role|
        role.rights.detect{|right|
          right.action == action_name && right.controller == controller_name
        }
      }
      flash[:notice] = "You are not authorized to view the page you requested"
      request.env["HTTP_REFERER"] ? (redirect_to :back) : (redirect_to home_url)
      return false
    end
  end
end
end

4，layout

<% if flash[:notice] %>
  <div class="errors">
    <% flash[:notice] %>
  </div>
<% end %>

如果我们的某一个controller或者action不想要check_authentication和check_authorization这两个filter，我们可以skip掉:

class HomeController < ApplicationController
  skip_before_filter :check_authentication, :check_authorization
  def index
    render :text => "A page that doesn't require a signin or any rights"
  end
end

但这只能精确到controller和action级别的权限控制
如果我们想控制对models实例的访问权限，可以参考Bruce Perens的ModelSecurity

分享到：

每天一剂Rails良药之Cleaning Up Controll ... | 每天一剂Rails良药之Authentication

2007-05-08 20:03
浏览 4426
评论(1)
查看更多

1 楼 javafansmagic 2011-06-30

Good~

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

每天一剂Rails良药之Role-Based Authorization

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

每天一剂Rails良药之Role-Based Authorization

评论

发表评论

相关推荐

用了TextMate才知道什么叫神级Editor

Ruby使用OAuth登录新浪微博和豆瓣

使用Passenger+nginx部署Rails

markItUp+rdiscount搭建Rails下可视化Markdown编辑器

Rails3 and MongoDB Quick Guide

基于ruby-protobuf的rpc示例

Ruby导出xls和csv的utf-8问题的解决

URL/HTML/JavaScript的encode/escape

各种排序的Ruby实现

12月5日北京RoR活动！

Rails程序开发的最大问题是代码规范

Web开发大全：ROR版——推荐序

深入ActionMailer，使用Sendmail发邮件

Rails里如何结合ExceptionNotification配置gmail账户发邮件

使用coderay和railscasts样式进行代码高亮

Capistrano试用

lighttpd真垃圾啊

将gem变成plugin

在Rails里使用ReCaptcha添加验证码

Rails里给文件上传添加progress_bar

最近访客更多访客>>