NO.1 引入cancancan和rolify

gem 'cancancan', '~>1.10'
gem "rolify"
bundle
生成ability模型

rails g cancan:ability
rails g rolify Role Admin

Admin為之前devise用登錄模型

NO.2 在需要進(jìn)行權(quán)限驗(yàn)證的控制器里里加上load_and_authorize_resource，例如：

class Admins::AdminsController < ApplicationController
  load_and_authorize_resource

這樣就可以對(duì)整個(gè)控制器的所有動(dòng)作進(jìn)行驗(yàn)證，而不需要手動(dòng)的對(duì)每個(gè)動(dòng)作進(jìn)行驗(yàn)證
運(yùn)行項(xiàng)目后訪問admins控制器后，報(bào)錯(cuò)

undefined local variable or method `current_user' for #<Admins::AdminsController:0x000000060c9e40>

因?yàn)槲业捻?xiàng)目中用登錄注冊(cè)的模型為admin,所以current_user這個(gè)方法是不存在的，需要把他改掉
在ApplicationController中，將current_user 替換為current_admin：

alias_method :current_user, :current_admin

刷新后，依然報(bào)錯(cuò)：

ArgumentError in Admins::AdminsController#index

這是rolify自帶的一個(gè)bug，暫未修復(fù)，解決辦法是將：

belongs_to :resource,
           :polymorphic => true，
           :optional => true

改為

belongs_to :resource,
           :polymorphic => true

NO.3 rolify的主要作用是用來關(guān)聯(lián)用戶和角色的。

它封裝了2個(gè)主要的方法：
add_role :admin,用來添加角色;
has_role? :admin, 判斷是否有這個(gè)角色;

在新建用戶的是時(shí)候，將角色和用戶關(guān)聯(lián)起來,params[:role]為頁(yè)面上傳過來的參數(shù)

  def create
    admin = Admin.new(admin_params)
    if admin.save
      admin.add_role params[:role]
      respond_to do |format|
        format.html
        format.js
      end
    else
      render 'new'
    end
  end

角色和用戶關(guān)聯(lián)成功。

NO.4 接下來就是在views里面和ablity.rb里面設(shè)置具體權(quán)限。

例如：如果有創(chuàng)建服務(wù)的權(quán)限，在服務(wù)模板的視圖中做如下控制：

<ul>
<% if can? :create, Service %>
  <li><%= link_to '添加服務(wù)',  new_admins_service_path %></li>
<% end %>
  <li><%= link_to '服務(wù)列表',  admins_services_path %></li>
</ul>

在ablity.rb中，做如下控制：

class Ability
  include CanCan::Ability
  def initialize(user)
    if user.blank?
      cannot :manage, :all
    ####超級(jí)管理員權(quán)限####
    elsif user.has_role? :admin
      can :manage, :all
    ####店長(zhǎng)權(quán)限####
    elsif user.has_role? "店長(zhǎng)"
      #####顯示屬于自己的店鋪#####
      can :show, Shop do |shop|
      (shop.admin_id == user.id)
      end
      #####顯示屬于自己店鋪列表#####
      can :my_shop, Shop do |shop|
      (shop.admin_id == user.id)
      end
      ####編輯修改屬于自己的店鋪####
      can :update, Shop do |shop|
      (shop.admin_id == user.id)
      end
      #######切換店鋪開關(guān)狀態(tài)#######
      can :switch, Shop do |shop|
      (shop.admin_id == user.id)
      end
      ######管理所有本店鋪的理發(fā)師######
      can :manage, Barber
      ####管理本店鋪的服務(wù)####
      can :manage, ShopService
      ####查看所有的服務(wù)模板####
      can :read, Service
      ###看到屬于自己的訂單統(tǒng)計(jì)###
      can :stat, Order
    end
  end
end

所以，當(dāng)角色為店長(zhǎng)的用戶登錄的時(shí)候，是視圖中，是看不見"添加服務(wù)"這個(gè)選項(xiàng)的，因?yàn)?code>can :read, Service,而視圖中需要?jiǎng)?chuàng)建權(quán)限才能看到。

NO.5 當(dāng)控制器中的某個(gè)action沒有對(duì)應(yīng)的具體model時(shí)，該如何處理

在控制中加入load_and_authorize_resource的時(shí)候，可以指定class

class Admins::StatsController < ApplicationController
   include ::Wechat::OrdersHelper
   load_and_authorize_resource :class => "Order"
  def stat
     @orders = initialize_grid(
        Order,
        include: :barber,
        conditions: ['shop_id = ?', current_admin.shop],
        per_page: 20
      )
  end

在ablity.rb中，做如下控制：
can :stat, Order

NO.6 權(quán)限類別說明

權(quán)限類別說明 :manage, :all, ..etc.
cancan 里面用了一些自定義縮寫，如 :manage、:read、:update、:all，讓人不知道在做神馬。

:manage: 是指這個(gè) controller 內(nèi)所有的 action
:read : 指 :index 和 :show
:update: 指 :edit 和 :update
:destroy: 指 :destroy
:create: 指 :new 和 :crate
而 :all 是指所有 object (resource)

當(dāng)然，不只是 CRUD 的 method 才可以被列上去，如果你有其他非 RESTful 的 method 如 :search，也是可以寫上去..，只是要一條一條列上去，有點(diǎn)麻煩就是了。

組合技：alias_action
cancan 還提供了組合技，要是嫌原先的 :update, :read 這種組合包不夠用。還可以用 alias_action 自己另外再組。例如把 :update 和 :destroy 組成 :modify。

alias_action :update, :destroy, :to => :modify
   can :modify, Comment

參考資料：
cancancan
rolify
Cancan 實(shí)作角色權(quán)限設(shè)計(jì)的最佳實(shí)踐(1)
Cancan 實(shí)作角色權(quán)限設(shè)計(jì)的最佳實(shí)踐(2)
Cancan 實(shí)作角色權(quán)限設(shè)計(jì)的最佳實(shí)踐(3)