cancan skip_authorization_check for Devise authentication

Question

Ponieważ każdy może się zarejestrować, a następnie zalogować, ... a ponieważ użytkownik nie jest identyfikowany dla ról, dopóki nie zaloguje się, czy nie ma sensu pominąć pole autoryzacji dla Devise?

Przechodząc do tego założenia, dziedziczę z kontrolera rejestracji Devise przy pomocy tego rejestratora registrations_controller i umieściłem go w katalogu kontrolera.

class Users::RegistrationsController < Devise::RegistrationsController 
    skip_authorization_check 
end 

zmiana w pliku trasach:

devise_for :users, :controllers => { :registrations => "registrations" } 

ja czegoś brakuje jednak:

This action failed the check_authorization because it does not authorize_resource. Add skip_authorization_check to bypass this check. 

Dzięki za pomoc.

Answer 1

Proste rozwiązanie

check_authorization :unless => :devise_controller? 

Jeśli trzeba umieścić check_authorization w każdym kontrolerze ręcznie w pewnym momencie można zapomnieć i otworzyć dziurę w zabezpieczeniach aplikacji. Lepiej jawnie dodać do białej listy kontrolery, które nie wymagają uwierzytelnienia przez program Cancan.

to jasno w kankana docs na

https://github.com/ryanb/cancan/wiki/Ensure-Authorization

EDIT

class ApplicationController < ActionController::Base 
    check_authorization :unless => :do_not_check_authorization? 
    private 
    def do_not_check_authorization? 
    respond_to?(:devise_controller?) or 
    condition_one? or 
    condition_two? 
    end 

    def condition_one? 
    ... 
    end 

    def condition_two? 
    ... 
    end 
end