後へ      Topへ      次へ Rails8 で WEB アプリを作成。開発入門

Pundit: ユーザー認可 (設定)

参考リポジトリ: https://github.com/Bonv-dev/book_mgmt/commit/b3c70a1

基本構造

• \app\policies\application_policy.rb
  全体のデフォルト設定です。
• \app\policies のその他のファイル
  モデル毎の設定。
  コントローラの各アクション名に ? を付けたメソッドを用意し、
  その中で、認可条件を書きます。
  e.g.
  ユーザーの destroy メソッドに対してなら、
  \app\policies\user_policy.rb に
  destroy? メソッドを用意します。
  サンプルプログラムではアドミンのみ可にするので、

  def destroy?
    user&.is_admin?
  end

  と書きます。
  is_admin 部分は、WEBアプリの仕様に依存します。

• 各コントローラの index メソッド
  元が
  @users = User.all なら、
  @users = policy_scope(User) のように書き換えます。
  user_policy.rb の Scope::resolve が呼ばれます。
  resolve 内で、
  • 認可OKのレコードだけを用意して返します。
  • 認可拒否の場合は、例外を吐かせます。
• 各コントローラの index 以外のメソッド
  メソッドの先頭に「authorize (対象のインスタンス)」を追記します。
  ユーザーで @user が対象なら、authorize @user です。
  user_policy.rb の「コントローラーのメソッド+”?”」のメソッドが呼ばれます。

ちなみに、
user&. の & は、Ruby の仕様で「ぼっち演算子」と言われます。
user.is_admin? としていて、user が nil だと NoMethodError になります。
& を付けておくと、
user&.is_admin? 全体で nil を返してくれます。
上記の例でいえば、
何らかの理由で user が定義されていない状態で認可チェックをした場合でも、
安全に nil → false 扱い → 認可拒否、になります。

デフォルト拒否

\app\policies\application_policy.rb で、
元々デフォルト全部拒否になっていますが、
多少書き換えておきます。
実際の内容は、リポジトリを参照してください。

拒否するリンクを隠す

前章の Cancancan では、
認可拒否になるリンクをクリックした場合は、
root_path (トップページ) に遷移してメッセージを出していました。
コードは、rescue_from 一つで済むので簡単ですが、
ユーザーの操作性は良くないです。

今回は、
拒否になるリンクが押せないよう、
状況に合わせて link_to や button_to 部分を隠すようにします。
View の各所で地道にコードを書かないといけない点が面倒ですが、
ユーザーの操作性は良くなるでしょう。

実際の内容は、リポジトリを参照してください。

後へ      Topへ      次へ Rails8 で WEB アプリを作成。開発入門