1. Giới thiệu chung
- CanCanCan là một thư viện phân quyền cho Ruby và Ruby on Rails, nó hạn chế những tài nguyên mà một người dùng nhất định được phép truy cập.
- Tất cả các quyền có thể được xác định trong một hoặc nhiều tệp khả năng và không bị trùng lặp trên controller, view và query DB, giữ logic phân quyền ở một nơi để dễ dàng bảo trì và kiểm tra.
2. Abilities in Database
Điều gì sẽ sảy nếu bạn hoặc khách hàng muốn thay đổi quyền mà không phải triển khai lại Ứng dụng? Trong trường hợp đó, tốt nhất có thể lưu trữ logic quyền trong cơ sở dữ liệu: rất dễ sử dụng các bản ghi cơ sở dữ liệu khi xác định các khả năng.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | class Ability include CanCan::Ability def initialize user if user.admin? can :manage, :all cannot :create, Borrowing, user_id: user.id cannot :read, Borrowing else can :create, Borrowing can :read, Borrowing, user_id: user.id can :read, Borrowing, ["user_id = ?", user.id] do |borrowing| borrowing.created_at.year >= 2021 end end end end |
Trong CanCanCan các action được thể hiện như sau:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | def eval_cancan_action(action) case action.to_s when "index", "show", "search" cancan_action = "read" action_desc = I18n.t :read when "create", "new" cancan_action = "create" action_desc = I18n.t :create when "edit", "update" cancan_action = "update" action_desc = I18n.t :edit when "delete", "destroy" cancan_action = "delete" action_desc = I18n.t :delete else cancan_action = action.to_s action_desc = "Other: " << cancan_action end return action_desc, cancan_action end |
3. Ability for Other User
Điều gì xảy ra nếu bạn muốn xác định quyền của Người dùng không phải là current_user ? Giả sử mình muốn xem liệu một user khác có quyền xem được phiếu mượn hay không some_user.ability.can? :update, @borrowing
Thêm phương thức ability vào model User:
1 2 3 4 | def ability @ability ||= Ability.new(self) end |
Sử sụng delegate để có thể gọi trực tiếp từ User:
1 2 3 4 | class User < ActiveRecord::Base delegate :can?, :cannot?, to: :ability end |
Kết quả sẽ được như sau:
1 2 3 4 5 6 | User.last.can? :read, Borrowing.first (0.7ms) User Load (0.7ms) SELECT `users`.* FROM `users` WHERE `users`.`deleted_at` IS NULL ORDER BY `users`.`id` DESC LIMIT 1 Borrowing Load (1.3ms) SELECT `borrowings`.* FROM `borrowings` WHERE `borrowings`.`deleted_at` IS NULL ORDER BY `borrowings`.`id` ASC LIMIT 1 => false |
Cuối cùng, nếu bạn muốn xem current_user có quyền truy cập vào object nào không thì tốt nhất bạn nên ghi đè mothod current_ability trong ApplicationController.
1 2 3 4 | def current_ability @current_ability ||= current_user.ability end |
Kết quả sẽ được test như sau:
1 2 3 | current_ability.can? :create, Borrowing => false |
4. Ability Precedence
Một ability rule sẽ ghi đè một ability rule trước đó. Giả sử Admin có toàn quyền với Borrowing, nhưng không được xoá chúng.
1 2 3 | can :manage, Borrowing cannot :destroy, Borrowing |
Điều quan trọng là cannot :destroy, Borrowing sau dòng can :manage, Borrowing . Như vậy,cannot :destroy sẽ bị overridden bởi can :manage.
Việc thêm can không ghi đè rule trước đó.
1 2 3 4 5 | can :read, Borrowing, user_id: user.id can :read, Borrowing do |borrowing| borrowing.created_at.year > 2021 end |
can? :read sẽ luôn trả về true nếu user_id = user.id kể cả nếu Borrowing có thời gian tạo nhỏ hơn 2021
5. Accessing request data
Điều gì sẽ xảy ra nếu bạn cần sửa đổi các quyền dựa trên thứ gì đó bên ngoài đối tượng User? Giả sử bạn muốn đưa các địa chỉ IP nhất định vào danh sách đen khỏi việc tạo comment. Địa chỉ IP có thể truy cập thông qua request.remote_ip nhưng class Ability không có quyền truy cập vào địa chỉ này. Cách đơn giản đề sửa đổi những gì mà bạn truyền vào cho đối tượng Ability bằng việc ghi đè phương thức current_ability trong ApplicationController.
1 2 3 4 5 6 7 8 | class ApplicationController < ActionController::Base private def current_ability @current_ability ||= Ability.new(current_user, request.remote_ip) end end |
1 2 3 4 5 6 7 8 | class Ability include CanCan::Ability def initialize(user, ip_address=nil) can :create, Comment unless BLACKLIST_IPS.include? ip_address end end |
Concept này cũng có thể áp dụng cho Session hay Cookie.
6. Authorization for Namespaced Controllers
Mặc định trong gem CanCanCan là quyền dựa trên user và object được xác định trong load_resource. Nhưng nếu bạn có 1 SearchController và Admin::SearchController, bạn có thể sử dụng một số tiếp cận khác.
Trong trường hợp này, chỉ cần ghi đè lại method current_ability trong ApplicationController để include controller namespace, và tạo một class Ability biết phải làm gì với nó
1 2 3 4 5 6 7 8 9 10 11 12 | class ApplicationController < ActionController::Base private def current_ability controller_name_segments = params[:controller].split('/') controller_name_segments.pop controller_namespace = controller_name_segments.join('/').camelize @current_ability ||= Ability.new(current_user, controller_namespace) end end |
1 2 3 4 5 6 7 8 9 10 11 12 13 | class Ability include CanCan::Ability def initialize(user, controller_namespace) case controller_namespace when "Admin" can :manage, :all if user.admin? else # rules for non-admin controllers here end end end |
Còn một cách khác là sử dụng một Ability class khác trong controller này:
1 2 3 4 5 6 7 8 9 10 | class Admin::BaseController < ActionController::Base #... private def current_ability @current_ability ||= AdminAbility.new(current_user) end end |
Kết luận
Thông qua bài viết này, mình mong giúp các bạn hiểu hơn về gem CanCanCan.
Tài liệu tham khảo [(https://github.com/CanCanCommunity/cancancan/wiki)]