Hay muchos complementos de rails que manejan los permisos de usuario. Estoy impresionado con la implementación en la joya del hobo, pero no estoy seguro si puedo usar solo esta característica y no las otras partes. GateKeeper es una implementación realmente inteligente, pero tiene algunos errores, aunque es lo suficientemente pequeño, probablemente podría arreglarlo yo mismo. Restful_ACL le proporciona un método de clase para verificar la creación, lo que significa que no puede hacer ninguna comprobación en la instancia en cuestión (no estoy seguro de si contiene hallazgos con ámbito).Complementos de acceso de usuario de Rails
Me gustaría algo que proporcione una versión de alcance de ActiveRecord # find que solo encuentre cosas que el usuario actual puede ver. Esto debería ser lo suficientemente robusto como para decir que solo puede ver las imágenes que se encuentran en galerías propiedad de usted o de uno de sus amigos.
Como beneficio adicional, podría evitar creaciones o actualizaciones (en un before_ * o paso de validación) que no tiene derecho a realizar, incluida la asociación de sus propios registros con un usuario o galería diferente, o la creación de dichos registros .
Uso una combinación de rethful_authentication y el complemento rails-auth. Rails Auth es muy potente y proporciona una DSL completa para describir tus permisos. –
Eso es restful_authentication, por supuesto: P –