Lugar adequado para propor um predicado de permissões?

mdoggydog · Fevereiro 21, 2025, 11:31pm

Aqui está o que aprendi/deduzi:

Guardian é de fato a coisa que encapsula “O que o usuário tem permissão para fazer?” (Uma instância de Guardian tem uma instância de User, também.)
Assim, o local apropriado para um predicado de permissão é simplesmente como um método em Guardian (lib/guardian.rb).
- Se o método for “O usuário pode fazer Z para um objeto Xxxx?”, então ele provavelmente pertence a um dos arquivos de mixin XxxxGuardian (lib/guardian/...).
- Caso contrário, ele vai para a definição base de Guardian.
ApplicationController gerencia um atributo guardian refletindo a solicitação/cliente atual e o fornece aos serializadores como seu scope, então o Guardian atual está disponível quando necessário (exceto quando não está^[1])
Existem lugares onde um Guardian pronto não está disponível, tipicamente em uma tarefa de backend executada pelo sistema, mas se você tiver um identificador para um “usuário agindo” (por exemplo, o usuário destinatário, ao gerar uma notificação por e-mail), você pode criar um guardião apropriado na hora: Guardian.new(the_user).

Forwarding the `scope:` down a tree of serializers: just do it, or not? Dev

Serializers can be provided with a scope: parameter intended to provide the permissions-context for the serializer. In the Discourse code, the provided scope is a Guardian, and it looks like every serializer is intended to receive a Guardian as its scope. ApplicationController (the base class of all the controllers) maintains a Guardian and it has multiple mechanisms to try to ensure that Guardian is injected as the scope: for all serializers. However, not every scenario is not covered by the…

↩︎

Tópico		Respostas	Visualizações
Disabling "enable names" makes admin act strange Bug	42	1029	20 de Junho de 2025
Best way to enforce permissions--controller or constraint? Dev	5	527	19 de Janeiro de 2021
PAID: Filter by username in digest preview (completed) Marketplace activity-summary	2	1100	5 de Novembro de 2015
Forwarding the `scope:` down a tree of serializers: just do it, or not? Dev	0	28	21 de Fevereiro de 2025
Overriding user_guardian.rb in a plugin (no fork necessary!) Dev	23	2739	29 de Agosto de 2025