問題タブ [declarative-authorization]

現在取り組んでいる Ruby on Rails アプリがあり、機能テストで問題が発生しています。特に、テスト中に、同様の資格情報 (同じロールなど) を持つユーザーを介してログインしたときにブラウザーでアクセスできるページへのアクセスが拒否され続けます。たとえば、コントローラーのテストのコードは次のとおりです。

(明らかに、私が実際に確認したい主張はすべてではありませんが、何が起こっているかを示しています。)

価値があるのは、上記のテストが失敗し、次の例外が発生することです。

繰り返しますが、私が言ったように、実際にアプリを実行しているときはすべてが機能し、テストが機能するだけです (アプリが偶然に機能しているだけかもしれませんが、誰にもわかりません)。

これは私のauthorization_rules.rbです：

これは私のpaying_users.rbコントローラーです：

とにかく、これは私routes.rbの、関連する部分です：

私がアクセスするmyapp.com/paying_usersと、ログインページにリダイレクトされませんが、そうしないでください。

これを修正するにはどうすればよいですか?

declarative_authorization を使用して承認を処理します。

特定のユーザー ロールに対して明示的に承認されていないすべてのルートが拒否されるように、Rails アプリケーションを完全にロックダウンしたいと考えています(403)。

私はこのアプリを継承しているため、フレームワークの理解が不十分ですが、現在は反対のようです。明示的に閉じない限り、すべてが開いています。

私はauthorization_rules.rbファイルを持っていて、ゲストロールに権限を与えていませんが、ログインしなくてもページにアクセスできます。ページごとに移動して、ページに承認が必要であることを確認できると思います（filter_access_to？ 、しかし、私は1つを逃すかもしれません。すべてをシャットダウンして、明示的に許可した場合にのみアクセスを開くにはどうすればよいですか?

これは Rails 2.3.5 を使用しています。

フェデレーション ID 管理を実装しており、ユーザーが一意に識別されたアイテムに対して認証する必要があるシナリオがあります。たとえば、ボブはレコード 12345、34444、23443、および 23443 への読み取りアクセス権を持ち、ジェーンはレコード 12345、34444、および 23443 への読み取り/書き込みアクセス権と、レコード 56445 への読み取りアクセス権を持っている場合があります。

2 つの質問があります。

1. たとえば、誰かが 100 から 1000 の個別の一意のレコードにアクセスできるとします。クレーム ベースのセキュリティでは、受信するセキュリティ トークンにこれらすべてのクレームが含まれることを理解しています。トークンのサイズは問題になりますか?

2. 承認を管理するための管理システムの作成に関するガイダンスはあまり見当たりません。つまり、私たちの場合、認証されたレコードにユーザーを割り当てることです。許可を可能な限り宣言的にすることについてのアドバイスはたくさんありますが、それが不可能な場合にどうすればよいかについてのアドバイスはあまりありません。

アドバイスや指示は大歓迎です。

Coupons2 つのアクションを持つコントローラーがあります。

私のビューでは、生成アクションが次のように呼び出されます。

私config/authorization_rules.rbはこのように見えます：

上記のスローのすべてのエラーは次のとおりです。

ただし、をに変更するfilter_resource_accessとfilter_access_to :all, :except => :generate、エラーは発生しなくなり、少し動作します。

つまり、探しているクーポン コードの一部が生成されますが、ビューの出力に plan_id 番号または日数が含まれていません。

何故ですか？私は何を間違っていますか？

編集1：ちなみに、それは適切な人を制限します...つまり、指定された役割のみがcoupons index view. したがって、フィルターは部分的に機能します。

私は authlogic をセットアップしており、declarative_authorization を使用したいと考えています。Ryan Bates の railcast #188 で、彼は次のように使用 before_filter {|c| Authorization.current_user = c.current_user} しています。同じことをすると、エラーが発生します。

current_user メソッドはアプリケーション コントローラーにあり、(Authlogic のセットアップ例のように) プライベートであり、パブリックにすると機能します。before filter ブロックの c.current_user の代わりに current_user (current_user メソッドもヘルパーです) と言うだけでも機能します。

それで、私がやれば実際に大丈夫でしょうbefore_filter {Authorization.current_user = current_user}か？

オブジェクト レベルで非常にきめ細かな承認が必要な Rails アプリケーションを作成しています。他のシステムは acl9 や declarative_authorization などのプラグインを使用していますが、独自のプラグインを実装したいと考えています。私は次のデータベース構造を念頭に置いており、これがレールのベストプラクティスから逸脱するかどうか疑問に思いました.

http://www.pastie.org/2496489

ポインタ/アドバイス、または潜在的な問題は大歓迎です。

CREATE および UPDATE の宣言型認証でエラーが発生します。エラーで認証されているユーザーが表示されず、何らかの形でセッションが失われているため、理由はわかりません。

`Authorization::NotAuthorized in CartypesController#update

# (ロール [:guest]、権限 [:update]、コンテキスト :cartypes) の更新に一致するルールが見つかりません。`

ロール「backoffice」には、authentication_controller.rb での権限があります。has_permission_on :cartypes, :to => [:index, :show, :new, :create, :edit, :update, :destroy, :delete]

Stackoverflowにも同様の問題があります: Link to Stackoverflow Question

私たちは Rails を初めて使用し、今回初めて試しましたが、他の show と list は正常に動作します.. (GET 操作)

助けていただければ幸いです... thx。

編集:モデルのセキュリティについて議論するときに、「宣言型承認」に関するドキュメントがそれほど明確ではないことがわかったため、これを解決できました! 非常に注意深く読んだ場合、モデル セキュリティを使用する場合は次のように設定する必要があります。rails-n00bs については、あまり明確ではないかもしれません...

私は Asp.NET メンバーシップ機能の使用について初心者であり、次のようなコードを使用してページ全体のアクセスを拒否することをお勧めできるかどうかを知りたいです。

それは良い方法ではないと思いますが、その理由を知りたいです!

ありがとう。

ユーザー権限を処理するために既に declarative_authorization を使用している Rails 2.3 アプリを使用しています。各ユーザーは、特定のモデル (ほとんどは通常の CRUD アクションですが、いくつかの特別なアクション) に対するアクセス許可を持つ 1 つのグループ (特別な役割ではありません) に属しています。これはすべて、通常のすぐに使用できるモードの declarative_authorization で正常に機能します。

モデル タイプに関して、管理者が特定のユーザー グループに権限を設定できるようにしたいと考えています。たとえば、新しいグループ Foo を作成し、それに何人かのユーザーを割り当て、グループ Foo のユーザーがモデル Bar のオブジェクトを c/r/u/d できるかどうかをチェックボックスで決定します。

以前に acl9 を使用したことがあり、それを機能させる方法がわかったと思います。私は最近、CanCan のファンになっていますが、それを簡単に行う方法がわかりません。declarative_authorization でこれができるのであれば、私はそれを使い続けますが、弾丸をかじって切り替える準備はできています。

これを達成するための最良の方法はどのプラグインでしょうか? 仕事をするために declarative_authorization を取得する方法はありますか? CanCan のエレガントな使い方は？データベースのパフォーマンスなど、注意すべき点はありますか?

このアプリを Rails 3.1 にアップグレードすることは納得できますが、2.3 互換のソリューションを見つけたいと思っています。

同様の質問をいくつか見ましたが、満足のいく回答はありません Rails Dynamic Role-Based Authorization plugin?

これは、cancan の場合 https://github.com/ryanb/cancan/wiki/Role-Based-Authorization