CanCan：基于用户角色限制其设置某些模型属性的能力

目前还不可能。但根据这个链接：https://github.com/ryanb/cancan/issues/326 ，这个功能应该会在cancan 2.0中实现。

更新：您可以在cancan 2.0分支的“Resource Attributes”部分中看到此功能：https://github.com/ryanb/cancan/tree/2.0

请看这篇文章：如何在Rails Admin中使用CanCan检查所有权

它展示了如何根据用户角色使字段不可见。

更新： 通过以下代码，我成功地在Rails Admin中设置了选项：

config.model User do
  edit do
    configure :organization do
      visible do
        bindings[:view]._current_user.max_role_name != 'admin' ? false : true
      end
    end

    configure :organization_id, :hidden do
      visible do
        true if bindings[:view]._current_user.max_role_name != 'admin'
      end
      default_value do
        bindings[:view]._current_user.organization_id if bindings[:view]._current_user.max_role_name != 'admin'
      end
    end

    include_all_fields
  end
end

如果登录用户不是管理员，此配置将隐藏组织字段。然后会显示一个organization_id字段（类型为“hidden”），并设置默认值。
希望这能帮到某些人。

在CanCan 2.0发布之前，我通过创建一个受限制的模型子类来解决了这个问题，类似于：

class AuthorPost < Post
  attr_protected :published
end

然后给作者访问AuthorPosts的权限： can :manage => AuthorPost

接下来在你的控制器中，你可以在before_filter中设置你想要的资源：

before_filter :set_resource
...
  private
    def set_resource
      if current_user and current_user.author?
        @resource = AuthorPost
      else
        @resource = Post
      end
      params[:post] ||= params[:author_post]
    end

一点需要注意的是：在该控制器中，您将无法使用load_and_authorize_resource。您需要手动执行此操作，详细信息请参见此处：https://github.com/ryanb/cancan/wiki/Controller-Authorization-Example 您需要用@resource替换Project。
我对于这种方法是否比railscast中描述的方法更加有效还有些犹豫。对于我的目的而言，它完全保留了原始模型，因此我的其他代码没有受到影响——只是允许我给一些用户提供较少的可编辑字段。

有一种方法，我在我的项目中做了类似的事情。但是CanCan并不完全是答案。你需要根据用户角色使模型中的attr_accessible动态化，因此如果您是管理员，则允许您更新已发布字段。如果不是，则在模型保存时，简单地给该字段赋新值将不起作用。

Railscasts再次拯救：http://railscasts.com/episodes/237-dynamic-attr-accessible

在实现后端部分之后，您可以通过在视图中使用角色检查或其他方式来包装发布字段，以根据用户显示或隐藏该字段。以下是我实现的粗略示例...

<% if current_user.roles.where(:name => ['Administrator','Editor']).present? %>
    <%= f.label :display_name %>
    <%= f.text_field :display_name %>
<% end %>