#ruby-on-rails #ruby-on-rails-3 #devise
#ruby-on-rails #ruby-on-rails-3 #разработать
Вопрос:
Как мне связать моего текущего пользователя, который вошел в систему, с моей публикацией при создании?
Моя модель post:
before_create :owner
belongs_to :user
def owner
self.user_id = current_user.id
end
Но это не сработает, потому что я не могу использовать метод current_user в модели.
Вот мой контроллер:
class PostsController < ApplicationController
before_filter :authenticate_user!
# GET /posts
# GET /posts.xml
def index
@posts = Post.all
respond_to do |format|
format.html # index.html.erb
format.xml { render :xml => @posts }
end
end
# GET /posts/1
# GET /posts/1.xml
def show
@post = Post.find(params[:id])
respond_to do |format|
format.html # show.html.erb
format.xml { render :xml => @post }
end
end
# GET /posts/new
# GET /posts/new.xml
def new
@post = Post.new
respond_to do |format|
format.html # new.html.erb
format.xml { render :xml => @post }
end
end
# GET /posts/1/edit
def edit
@post = Post.find(params[:id])
end
# POST /posts
# POST /posts.xml
def create
@post = Post.new(params[:post])
respond_to do |format|
if @post.save
format.html { redirect_to(@post, :notice => 'Post was successfully created.') }
format.xml { render :xml => @post, :status => :created, :location => @post }
else
format.html { render :action => "new" }
format.xml { render :xml => @post.errors, :status => :unprocessable_entity }
end
end
end
# PUT /posts/1
# PUT /posts/1.xml
def update
@post = Post.find(params[:id])
respond_to do |format|
if @post.update_attributes(params[:post])
format.html { redirect_to(@post, :notice => 'Post was successfully updated.') }
format.xml { head :ok }
else
format.html { render :action => "edit" }
format.xml { render :xml => @post.errors, :status => :unprocessable_entity }
end
end
end
# DELETE /posts/1
# DELETE /posts/1.xml
def destroy
@post = Post.find(params[:id])
@post.destroy
respond_to do |format|
format.html { redirect_to(posts_url) }
format.xml { head :ok }
end
end
end
Как мне построить ассоциацию? Итак, чтобы цвету post user_id присваивался current_user.id
Ответ №1:
Добавить
@post.user = current_user
в вашем действии create.
Или, если у вас есть has_many :posts ассоциация с User моделью, сделайте:
@post = current_user.posts.new(params[:post])
if @post.save
...
Комментарии:
1. Возможно ли пользователю изменить current_user и «взломать» веб-сайт
2. когда вы делаете это через hidde_field в форме, тогда это возможно, когда в безопасности контроллера
Ответ №2:
Я бы предложил создать вашу публикацию через вашего пользователя:
# in create
@post = current_user.posts.build(params[:post])
Это автоматически заполнило бы user_id для вас.
Комментарии:
1. В любом случае хорошо. Но есть один момент для вашего метода
show,editupdateиdestory. В вашем текущем способе пользователь A мог просматривать, обновлять или удалять записи пользователя B. Поэтому, как правило, было бы лучше использовать методы с ограниченной областью для извлечения post, т.Е.@post = current_user.posts.find(params[:id])вshow. Конечно, если вы действительно хотите, чтобы другие пользователи обновляли сообщения друг друга, ваш способ подойдет2. О, хорошо, спасибо за объяснение. Я буду использовать этот метод в своем приложении.