rails before_filter阻止訪問控制器

Question

我有一個應用程序，用戶可以提名一個可以查看其賬戶的密鑰持有者。我有一個before_filter，意思是隻有賬戶持有人或他們的鑰匙持有者才能查看他們的賬戶。此代碼適用於查看用戶主頁的任何人，但我無法進一步做任何事情 - 我當前以密鑰持有者身份登錄，並且無法註銷，或者向任一帳戶添加「註釋」（現在鑰匙持有人可以無限制地訪問他們自己的賬戶和鑰匙持有人）。請任何人都可以幫忙？

的是的before_filter：

def correct_user 
     @user = User.find(params[:id]) 

     unless (@user && current_user.id == @user.id) || ((current_user.access_id==@user.id)&&(current_user.id==@user.access_id)) 
      redirect_to root_path 
     end 
     end 

，並試圖例如，當我收到錯誤創建一個需要注意的是：

ActiveRecord::RecordNotFound in NotesController#new 
Couldn't find User without an ID 

它指的是在對的before_filter @user線。

當我作爲鑰匙持有人登錄後，我可以查看主頁，但除此之外什麼也不做？謝謝！

UPDATE：

更新的before_filter（在application_controller.rb）：

def correct_user 
     if params[:id] 
      @user = User.find(params[:id]) 

      unless (@user && current_user.id == @user.id) || ((current_user.access_id==@user.id)&&(current_user.id==@user.access_id)) 
      redirect_to root_path 
      end 
     else 
      redirect_to root_path 
     end 
     end 

上說明創建

控制檯輸出：

Started POST "/notes" for 127.0.0.1 at 2013-02-28 14:10:49 +0000 
Processing by NotesController#create as HTML 
    Parameters: {"utf8"=>"V", "authenticity_token"=>"qMDHQAoC4l3Be5YZKSH1AJ9E5zS1D 
kMNCW2KzUZ38gM=", "note"=>{"user_id"=>"16", "content"=>""}, "commit"=>"Update Note"} 
Redirected to http://localhost:3000/ 
Filter chain halted as :correct_user rendered or redirected 
Completed 302 Found in 98ms (ActiveRecord: 0.0ms) 


Started GET "/" for 127.0.0.1 at 2013-02-28 14:10:49 +0000 
Processing by PublicController#index as HTML 
    ←[1m←[36mUser Load (3.0ms)←[0m ←[1mSELECT "users".* FROM "users" WHERE "users 
"."id" = 16 LIMIT 1←[0m 
    Rendered public/index.html.erb within layouts/application (5.0ms) 
    ←[1m←[36mTimeline Load (3.0ms)←[0m ←[1mSELECT "timelines".* FROM "timelines" 
WHERE "timelines"."user_id" = 16 LIMIT 1←[0m 
    ←[1m←[36mMessageBoard Load (2.0ms)←[0m ←[1mSELECT "message_boards".* FROM "me 
ssage_boards" WHERE "message_boards"."user_id" = 16 LIMIT 1←[0m 
    Rendered partials/_menuoptions.html.erb (53.0ms) 
Completed 200 OK in 551ms (Views: 535.0ms | ActiveRecord: 16.0ms) 

Answer 1

試試：

def correct_user 
      if current_user 
       @user = User.find(current_user.id) 

       unless (@user && current_user.id == @user.id) || ((current_user.access_id==@user.id)&&(current_user.id==@user.access_id)) 
       redirect_to root_path 
       end 
      else 
       redirect_to root_path 
      end 
      end 

其實這裏沒有params[:id]這樣的東西。 current_user是您正在查看的用戶，因此您可以使用上述current_user.id直接查找。用上面的代碼替換，如果你找到其他的可能性最好。這只是一個實施的想法。

Answer 2

我認爲你驗證上太多無論如何，這個問題似乎在get/post請求中，因爲沒有id到達控制器動作，你能附加發送給控制器的參數嗎？從控制檯複製它們，這將是更容易閱讀...

"note"=>{"user_id"=>"16", "content"=>""} 

您對使用params[:note][:user_id]來獲取用戶ID，你必須與用戶ID添加一個隱藏字段能做你想做的事情，如果你問我，我不認爲這是一種好的做法，你有沒有看過任何Railscast？，我敢肯定，你可以在那裏找到很多有用的技巧，看看這個例如：

Railscast Cancan

希望它可以幫助...

Answer 3

當你去註釋/新的時候，你沒有提供任何id參數，這就是你得到這個異常的原因。

你必須先檢查是否PARAMS [：ID]存在：

def correct_user 
    if params[:id] 
    @user = User.find(params[:id]) 

    unless (@user && current_user.id == @user.id) || ((current_user.access_id==@user.id)&&(current_user.id==@user.access_id)) 
     redirect_to root_path 
    end 
    else 
    redirect_to root_path 
    end 
end 

，並在鏈接到Notes /新，你必須提供用戶ID PARAM：

<%= link_to "New note on #{@user.name}", new_note_path(id: @user.id) %>