Permisos de serialización (por ejemplo, CanCan) con active_model_serializers

Question

¿Cómo serializo los permisos con active_model_serializers? No tengo acceso a current_user o al método can? en modelos y serializadores.

Answer 1

En primer lugar, para obtener acceso a la current_user en el contexto serializador, utilizar la nueva característica alcance:

class ApplicationController < ActionController::Base 
    ... 
    serialization_scope :current_user 
end 

Si estás instanciar serializadores manualmente, asegúrese de pasar el ámbito de aplicación:

model.active_model_serializer.new(model, scope: serialization_scope) 

Luego, dentro del serializador, agregue métodos personalizados para agregar sus propios pseudoatributos de autorización, usando scope (el usuario actual) para determinar los permisos.

Si está utilizando CanCan, se puede crear una instancia de la clase de capacidad de acceder al can? método:

attributes :can_update, :can_delete 

def can_update 
    # `scope` is current_user 
    Ability.new(scope).can?(:update, object) 
end 

def can_delete 
    Ability.new(scope).can?(:delete, object) 
end 

Answer 2

Hemos creado una joya que ofrece esta funcionalidad: https://github.com/GroupTalent/active_model_serializers-cancan

Answer 3

Creo que puede pasar cualquier cosa quiero serialization_scope así que simplemente apruebo la habilidad.

class ApplicationController < ActionController::Base 
... 
serialization_scope :current_ability 

def current_ability 
    @current_ability ||= Ability.new(current_user) 
end 

end 


class CommentSerializer < ActiveModel::Serializer 
    attributes :id, :content, :created_at, :can_update 

    def can_update 
    scope.can?(:update, object) 
    end 

end 

No puedo hacer otra cosa ya que mis habilidades se basan realmente en dos variables (no en el ejemplo anterior).
Si aún necesita acceso a current_user, simplemente puede establecer una variable de instancia en Ability.