最近升级到Rails 4后,使用类似以下代码更新属性不起作用,我得到一个ActiveModel::ForbiddenAttributes错误:
@user.update_attributes(params[:user], :as => :admin)
其中,用户在模型中具有以下属性行:
attr_accessible :role_ids, :as =>admin
# or any attribute other than :role_ids contained within :user
如何在Rails 4中完成相同的任务?
Rails 4现在默认具有strong_parameters gem内置的功能.
人们不再需要拨打:as => :admin个电话,也不需要在模型中使用attr_accessible :user_attribute, :as => admin.原因是,默认情况下,rails应用程序现在对模型上的每个属性都具有"安全性".必须指定要访问/修改的属性.
你现在需要做的就是在update_attributes时拨打permit:
@user.update_attributes(params[:user], permit[:user_attribute])
或者更准确地说:
@user.update_attributes(params[:user].permit(:role_ids))
但是,这一行允许任何用户修改permitted角色.您必须记住,仅允许管理员或任何其他所需角色通过其他筛选器访问此操作,例如:
authorize! :update, @user, :message => 'Not authorized as an administrator.'
. . . 如果您使用Desive和CanCan进行身份验证和授权,这将起作用.