Cancan如何为Devise身份验证跳过授权检查

Question

Cancan如何为Devise身份验证跳过授权检查

20

因为任何人都可以注册并登陆，而且用户在登陆后才会被识别为角色，所以跳过 Devise 的授权检查是有道理的吗？

基于这个前提，我从 Devise 注册控制器继承了这个 registrations_controller 并将它放在控制器目录中。

class Users::RegistrationsController < Devise::RegistrationsController
  skip_authorization_check
end

更改路由文件：

devise_for :users, :controllers => { :registrations => "registrations" }

不过我还缺少点什么：

This action failed the check_authorization because it does not authorize_resource. Add skip_authorization_check to bypass this check.

感谢你的帮助。

- Jay

@RyanBigg，等我解决了这个问题，我会去看看你对上一个问题的答案是否适用于这个应用程序。谢谢。 - Jay

@Hosemeyer，我需要解决这个问题，然后才能按照你在另一个问题中的建议进行操作。感谢你的帮助。 - Jay

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- bradgonesurfing · Accepted Answer

简单的解决方案

check_authorization :unless => :devise_controller?

如果您必须在每个控制器中手动放置check_authorization，那么在某个时刻您可能会忘记并在应用程序中打开安全漏洞。最好通过cancan明确列出不需要身份验证的控制器白名单。

这在CANCAN文档中已经很清楚了。

https://github.com/ryanb/cancan/wiki/Ensure-Authorization

编辑

class ApplicationController < ActionController::Base
  check_authorization :unless => :do_not_check_authorization?
  private
  def do_not_check_authorization?
    respond_to?(:devise_controller?) or
    condition_one? or
    condition_two?
  end

  def condition_one?
   ...
  end

  def condition_two?
   ...
  end
end