Rails에 대한 역할 기반 액세스 제어 (oauth-) 방법은 무엇입니까?

Question

나는 액세스 제어 패턴이 페이스 북 그래프 API와 매우 유사한 공개 API를 사용하여 서비스를 구현하려고합니다. 나는 Devise로 OAuth를 수행 할 수있는 문지기 보석을 사용하고 토큰에 액세스 할 수있는 권한/범위를 쉽게 제공합니다.

그래서 넘어, 내가 필요 : - 액세스 제어를 액세스 토큰 의 범위에 따라 - (페이스 북에서 개인 정보 보호 설정과 같은) 플랫폼에서 다른 그룹 사용자에 대한 액세스 제어 - 액세스 제어 동적이어야한다 , can not는 고정 된 역할을 맡습니다.

아니요 저는 역할 기반 액세스 제어를하는 것으로 보이는 CanCan을 보았습니다.하지만 OAuth를 매우 쉽게 incoorperate하는 것처럼 보이지 않으므로 롤업하는 것이 가장 좋은지 스스로에게 묻습니다 내 자신의 시스템을 밖으로? 기본적으로 모델에 대한 모든 액세스 제어를 기본적으로 수행하는 것이 올바른 방법일까요?

다른 의견이 있으십니까?

Answer 1

CanCan이 원하는 것을 처리 할 수 ​​있다고 생각합니다. 사용자가 권한을 부여한 것으로 간주되는 사항에 대해 구체적인 내용을 제공하지 않았으므로 도움이 될만한 몇 가지 방법을 알려 드리겠습니다. 제가 먼저 말하고자하는 것은 여러분이 능력 파일에 원하는 모든 객체를 전달할 수 있다는 것입니다. 이를 수행하려면 다음을 수행 : 응용 프로그램에서

def ApplicationController < ActionController::Base 
    def current_ability 
    @current_ability = CustomAbility.new(pass, in, anything, here) 
    end 
end 

/모델을 당신이 때 custom_ability.rb 정의 할이 경우

def CustomAbility 
    include CanCan::Ability 

    def initialize(anything, you, want, here) 
    ... 
    end 
end 

를, 아무것도 = 당신이 = 통과 = 무엇을 원하는 , 여기 = 여기. 또한 권한을 부여하는 리소스에 대해 몇 가지 메서드를 호출 할 수 있습니다. CanCan은 @resource_name을로드 한 다음 승인 할 능력 파일을 입력하여 작동합니다. RESTful 라우트를 가정하여 @resource_name을로드하지만, @ resource_name에 저장하면 (즉, 사용자를 @user에 저장하는 경우) before_filter를 사용하여 쉽게 자신의 리소스를로드 할 수 있습니다.

이미 생성 된 매개 변수를 인증하는 개체에서 특정 메서드를 호출 할 수도 있습니다. 예를 들어, 다음과 같이 할 수 있습니다.

def initialize(user) 
    can :read, Post do |post| 
    !((post.readable_groups & user.groups).empty?) 
    end 
end 

기본적으로 해당 블록의 행이 false를 반환하면 권한이 부여되지 않습니다. 유일한주의 사항은 블록이 create 또는 new에서 실행되지 않는다는 것입니다. 이 문제를 해결하는 방법이 있습니다. 예를 들어 고유성 검증을 사용하여 모델 수준에서 사용자 당 하나의 게시물을 시행한다고 가정 해 보겠습니다. 이전 필터를 사용하여 post_user_id 설정을로드 한 다음 수행하십시오.

can :create, Post, valid?: true 

어쨌든 도움이 되셨을 것입니다.