Ruby on rails Rails CanCanCan/RoleModel/Canard：限制用户不使用'；行不通

设置：

• Rails 5.1、Ruby 2.4.0
• User.rb是通过扩展的设计创建的 CanCanCan和Canard（包括RoleModel）
• 集合中有许多项（无效）
• 愿望列表中有许多愿望列表（确实有效）

从user.rb：

acts_as_user :roles => [ :guest, :user, :entity_admin, :admin, :super_admin ]

这些存储在用户表中的角色掩码字段中（值映射为1、2、4、8、16）

在Admin和Super_Admin级别上，一切正常，但它被定义为完全开放的，因此这是意料之中的：

manage[:all]

在用户级别，它仅限于用户拥有的项目：

# app/abilities/users.rb
Canard::Abilities.for(:user) do
  can [:read], :all

  can [:manage], Collection do |collection|
    collection.try(:user) == @user
  end

  can [:manage], Item, :collection => { user_id: user.id }

  can [:manage], Wishlist do |wishlist|
    wishlist.try(:user) == @user
  end

  can [:manage], WishlistItem do |wi|
    wi.try(:user) == @user
  end
end

我还尝试过更简单的声明：

can [:manage], Collection, user_id: @user.id

无济于事

在控制器中，将相应地加载和授权内容：

# app/controllers/collections_controller.rb:6
load_and_authorize_resource :collection, except: [:index, :show, :create]

# app/controllers/items_controller.rb:6-7
load_and_authorize_resource :collection
load_and_authorize_resource :item, through: :collection

#app/controllers/collections_controller Finder method from before_action
private
def set_collection
  @collection = @user.collections.friendly.find(params[:id]).decorate
end

所以我可以创建一个集合，在控制台中它属于正确的用户但是，当我尝试对其进行任何编辑时，会出现CanCan错误（“您无权访问此页面”。添加项目会自动失败

---

我敢肯定这是我的用户错误，但我一辈子也弄不清楚。

看来CanCanCan授权的对象已经被装饰过了。您可以重载

can？

和

授权在ability.rb中，包含以下内容：

def can?(action, subject, *extra_args)
  subject_arg = subject.is_a?(Draper::Decorator) ? subject.model : subject
  super(action, subject_arg, *extra_args)
end

def authorize!(action, subject, *extra_args)
  subject_arg = subject.is_a?(Draper::Decorator) ? subject.model : subject
  super(action, subject_arg, *extra_args)
end

这将处理将装饰对象传递到能力检查的任何事件。
。。。你的错误/问题是什么？将错误加粗