Rails验证pundit策略中的参数

Question

我正在创建一个trello风格的应用程序，用户可以在列表之间拖动卡。我正在处理js端的所有重新排序逻辑，并将list_id和position发布到我的控制器中的rails更新操作：

card = authorize Card.find(params[:id])
card.update(card_params)

由pundit提供授权方法如下所示：

def update?
  user.can_edit?(card.board)
end

这仅检查用户是否有权编辑电路板。因为我允许list_id属性，所以用户可以很好地发布帖子，将一张卡移动到他无权访问的列表中。为了解决这个问题，我在我的控制器中添加了这个条件：

if current_user.can_edit? List.find(params[:list_id]).board
  // update card
else 
  // handle error
end

这个解决方案可以完成这项工作，但是我不想在我的控制器中引入任何授权。我的专家策略不能访问card_params，模型也不能访问devise current_user，所以这似乎是唯一的方法。有没有办法让我把这个逻辑放到政策中？

Answer 1

我找到了解决方案，我只需要通过列表策略授权新的列表：

authorize List.find(params[:list_id])