CanCan load_and_authorize_resource wyzwala Niedozwolone atrybuty

Question

Mam standardowy kontroler RESTful, który używa silnych parametrów.

class UsersController < ApplicationController 
    respond_to :html, :js 

    def index 
    @users = User.all 
    end 

    def show 
    @user = User.find(params[:id]) 
    end 

    def new 
    @user = User.new 
    end 

    def edit 
    @user = User.find(params[:id]) 
    end 

    def create 
    @user = User.new(safe_params) 

    if @user.save 
     redirect_to @user, notice: t('users.controller.create.success') 
    else 
     render :new 
    end 
    end 

    def update 
    @user = User.find(params[:id]) 

    if @user.update_attributes(safe_params) 
     redirect_to @user, notice: t('users.controller.update.success') 
    else 
     render :edit 
    end 
    end 

    def destroy 
    @user = User.find(params[:id]) 

    if current_user != @user 
     @user.destroy 
    else 
     flash[:error] = t('users.controller.destroy.prevent_self_destroy') 
    end 
    redirect_to users_url 
    end 

    private 

    def safe_params 
    safe_attributes = 
     [ 
     :first_name, 
     :last_name, 
     :email, 
     :password, 
     :password_confirmation, 
     ] 
    if current_user.is?(:admin) 
     safe_attributes += [:role_ids] 
    end 
    params.require(:user).permit(*safe_attributes) 
    end 
end 

W moim config/initializers Mam plik strong_parameters.rb

ActiveRecord::Base.send(:include, ActiveModel::ForbiddenAttributesProtection) 

Kiedy dodać prostego połączenia do kankana za load_and_authorize_resource uzyskać

1) UsersController POST create with invalid params re-renders the 'new' template 
Failure/Error: post :create, user: @attr 
ActiveModel::ForbiddenAttributes: 
    ActiveModel::ForbiddenAttributes 
# ./spec/controllers/users_controller_spec.rb:128:in `block (4 levels) in <top (required)>' 

Gdzie @attr w teście jest zdefiniowany jako

before(:each) do 
    @attr = 
     { 
     first_name: "John", 
     last_name: "Doe", 
     email: "user@example.com", 
     password: "foobar", 
     password_confirmation: "foobar" 
     } 
    end 

W testach mam wszystko poprawnie skonfigurowane, aby zalogować użytkownika i dać im niezbędne role dla administratora, więc wiem, że to nie to. Nie wiem, dlaczego powoduje to wywołanie ForbiddenAttributes. Jestem pewien, że jest to coś prostego, co przeoczyłem. Czy ktoś inny napotkał ten problem i znalazł rozwiązanie tego problemu?

Answer 1

Uważam, że dzieje się tak dlatego, że CanCan użyje własnej metody gettera dla żądanego zasobu, jeśli nie wczyta go wcześniej z filtrem before_filter. Więc można dodać to do sterownika i powinno działać:

class UsersController < ApplicationController 
    before_filter :new_user, :only => [:new, :create] 

    load_and_authorize_resource 

    def new_user 
    @user = User.new(safe_params) 
    end 
end 

(A następnie zrobić to samo dla działań edit/update.)

Answer 2

before_filter do 
    params[:user] = safe_params 
end 
load_and_authorize_resource