Phân quyền trong Rails sử dụng Pundit
Bài đăng này đã không được cập nhật trong 2 năm
I. Giới thiệu
Với mỗi ứng dụng web bất kì, phân quyền cho người dùng là việc làm không thể thiếu. Đối với các ứng dụng sử dụng ruby on rails, chúng ta có một số thư viện hỗ trợ việc phân quyền như cancancan, pundit, authorite... Những thư viện này sẽ giúp chúng ta tách hoàn toàn phần logic phân quyền ra khỏi controller hay model. Một trong những gem phân quyền được phát triển sớm và phổ biến nhất là Cancancan hay trước đây là Cancan. Đối với Cancancan toàn bộ những logic phân quyền sẽ được cho vào class có tên Ability. Tuy nhiên việc tất cả các logic phân quyền tập trung chỉ trong một class Ability sẽ làm cho file này phình to lên nhanh chóng. Một điểm không thực sự tốt nữa ở Cancancan là role của user sẽ cần được đánh giá qua từng request từ đó làm chậm đáng kể thời gian phản hồi. Gần đây, trong dự án mới mình có dịp tìm hiểu và dùng thử một gem phân quyền khác là Pundit và nhận ra nó có khá nhiều ưu điểm so với Cancancan. Hôm nay mình xin giới thiệu với các bạn về Pundit.
II. Sự khác biệt của Pundit với Cancancan
Pundit ra đời sau tuy nhiên đã phát triển nhanh chóng và có khá nhiều những ưu điểm so với Cancancan. Đầu tiên các bạn có thể xem so sánh tổng quan giữa Pundit và Cancancan tại đây.
Pundit sử gọn nhẹ hơn nhiều so với Cancancan.
Pundit sử dụng cú pháp DSL (domain specific language) đơn giản hơn so với Cancancan giúp nó thực sự dễ tìm hiểu và áp dụng.
Ngoài ra, như đã nói ở trên, đối với Cancancan toàn bộ logic về phân quyền sẽ được lưu trong file app/models/ability.rb. Còn với Pundit mỗi model bạn sẽ có một class ruby tương ứng đảm nhiệm việc phân quyền của người dùng cho model ấy. Và trong mỗi class policy ấy sẽ có các hàm tương ứng dành cho từng action của controller. Với cá nhân mình cách chia nhỏ như vậy của Pundit giúp chúng ta dễ lắm bắt và kiểm soát hơn nhiều.
III. Cài đặt và sử dụng Pundit
Chúng ta sẽ bắt đầu bằng một ứng dụng đơn giản gồm 2 model chính là User và Post như hình:
1. Cài đặt Pundit
Thêm vào Gemfile
gem "pundit"
Include Pundit trong application_controller
class ApplicationController < ActionController::Base
include Pundit
protect_from_forgery
end
Tiếp theo chúng ta sẽ tạo một application policy và các policy cho từng model sau đó sẽ kế thừa từ application policy này
rails g pundit:install
Sau khi chạy câu lệnh generate chúng ta sẽ có một thư mục app/policies/. Ở đây sẽ chứa toàn bộ các class phân quyền Policy.
Còn đây là file app/policies/application_policy.rb được sinh ra
class ApplicationPolicy
attr_reader :user, :record
def initialize(user, record)
raise Pundit::NotAuthorizedError, "must be logged in" unless user
@user = user
@record = record
end
def index?
false
end
def show?
scope.where(:id => record.id).exists?
end
def create?
false
end
def new?
create?
end
# [...]
# some stuff omitted
class Scope
# [...]
end
end
Đến đây ta có thể thấy:
- Các class Policy được đặt tên dưới dạng
ModelNamePolicy. - Tham số đầu tiên là
user. Trong controller, Pundit sẽ sử dụngcurent_userđể truyền vào. - Tham số thứ 2 sẽ là một model object mà chúng ta cần phải check quyền.
- Policy class đã implements các phương thức update?, new?... Các phương thức này sẽ tương ứng với các action của controller
2. Phân quyền cho model
Giờ là lúc chúng ta bắt đầu phân quyền cho model Post. Giả sử chỉ có user với role là admin được quyền xoá post, ta sẽ có:
policies/post_policy.rb
class PostPolicy < ApplicationPolicy
def destroy?
user.admin?
end
end
Tương tự với các method khác của class policy, method destroy? ở đây cũng trả về true hoặc false để xác định quyền của user với model.
Và với định nghĩa như trên, ở controller ta sẽ check quyền bằng phương thức `
authorize
post_controller.rb`
def update
@post = Post.find(params[:id])
authorize @post
if @post.update(post_params)
redirect_to @post
else
render :edit
end
end
Nếu muốn check quyền khi ở một action không giống với policy action thì ta có thể truyền trực tiếp tên của action policy cần được check:
def publish
authorize @post, :update?
end
Ở đây hàm authorized có thể diễn đạt đầy đủ thành:
raise "not authorized" unless PostPolicy.new(current_user, @post).update?
Khi user không có quyền thực hiện action, chúng ta cần xử lí exception của Pundit trong application_controller
application_controller.rb
[...]
rescue_from Pundit::NotAuthorizedError, with: :user_not_authorized
private
def user_not_authorized
flash[:warning] = "You are not authorized to perform this action."
redirect_to(request.referrer || root_path)
end
[...]
config/locales/en.yml
en:
pundit:
default: 'You cannot perform this action.'
Sau khi sử lí ở controller, ta cần kiểm tra cả ở view để ẩn hiện các link phù hợp với từng action.
views/posts/index.html.erb
<% if policy(post).destroy? %>
<td><%= link_to 'Destroy', post, method: :delete, data: { confirm: 'Are you sure?' } %></td>
<% end %>
3. Sử dụng Pundit với scope
Đôi khi bạn cần hiển thị một list các record tương ứng với một user nhất định nào đấy. Và Pundit cung cấp tính năng scope cho phép bạn thực hiện việc này dễ dàng.
class PostPolicy < ApplicationPolicy
class Scope
attr_reader :user, :scope
def initialize(user, scope)
@user = user
@scope = scope
end
def resolve
if user.admin?
scope.all
else
scope.where(published: true)
end
end
end
end
Giờ bạn có thể dùng class này ở controller thông qua method policy_scope
post_controller.rb
def index
@posts = policy_scope(Post)
end
views/posts/index.html.erb
<% policy_scope(@user.posts).each do |post| %>
<p><%= link_to post.title, post_path(post) %></p>
<% end %>
III. Kết luận
Trên đây mình đã giới thiệu với các bạn về gem Pundit, một sự lựa chọn đáng cân nhắc nếu bạn đang tìm kiếm giải pháp phân quyền cho ứng dụng Rails của mình.
Nguồn tham khảo
https://github.com/elabs/pundit https://www.sitepoint.com/straightforward-rails-authorization-with-pundit/
All rights reserved
