私はability.rb次のステートメントを持っています:
if user.is_employee?
can :schedule, Employee, id: user.employee.id
end
これにより、従業員は で自分のスケジュールを表示できるようになります/employees/273/schedule。その URL は、従業員の ID が 273 の場合に機能します。これは機能します... 従業員はその URL を表示できます。問題は、従業員が他のすべての ID も表示できることです。上記は、従業員が自分の ID のみをスケジュールするように制限するべきではありませんか?
更新:これが私のEmployeeControllerです:
class EmployeeController < ApplicationController
before_filter :authenticate_user!
authorize_resource
def schedule
@employee = Employee.find(params[:id])
end
end