Six —— 权限控制Ruby Gem

权限控制对于一个web站点为极其重要。例如 Git@OSC 中，应保证私有项目不被非项目成员访问，下载仓库，并且对于项目成员角色也应做对应的权限控制：报告者只能提 issue、开发者能进行 pull request，编写 wiki 等操作；在线阅读的站点，判断用户是非有阅读某一本书的权限。可以看出，相对于规模稍微大点的用户系统站点，权限控制为必须且为极其重要的一部分。
那么，提供给 Rubyist 的权限控制Gem都有哪些呢？pundit、Six和cancan都为不错的选择。Git@OSC和开源项目gitlabhq使用的都是是 Six ，我对此相对熟悉，于是催生出了 Six 使用过程中的一点学习总结。

快速开始

要使用ruby gem毫无疑问得安装相对应的gem: gem install six 使用six十分简单，分为四步即可。

1. 创建 abilities 对象

abilities = Six.new

2. 创建定义了 allowed 方法的类或对象
   allowed 返回的是整个系统的权限规则数组，譬如在 Git@OSC 中项目访客对公有项目的权限为：read_project、read_wiki、read_issue、download_code、read_team_member、read_pull_request ...
   譬如对于在线阅读的站点，有编辑图书，阅读图书的权限:

class BookRules
    def self.allowed(author,book)
      [:read_book,:edit_book]
    end
  end

看到了吧, allowed 方法中返回一个数组，元素包含了read_book,和edit_book的规则。这些规则的作用在第四步“如何使用”体现出来。

3. 把第二步新建的对象添加到第一步新建的 obilities 对象

abilities << BookRules

4. 至此，可在业务开发过程中对应用户角色的权限判断了

abilities.allowed?(@user,:read_book,@book) #true

解释一下 Six 中的allow? 方法中的三个参数。首先查看其的源代码 def allowed?(object, actions, subject);....;end

• object object trying to access resource(访问资源的对象，这个对象一般为用户)
• actions action name to check for access(权限描述，比如这里的图书阅读权限)
• subject resource(权限操作的资源，例如阅读图书权限操作的资源为图书，访问项目权限操作的资源为项)

Six在Ruby on Rails中的应用

从某种层面上看， Rails 确实驱动了 Ruby 的推广。使用 Six ，相信大部分开发者都是在Rails中应用，那么在Rails中如何使用Six呢？
有了上述的 quick start ，再结合Rails的规范，使用 Six 将不会是难题。首先在Gemfile中添加 gem "six" 。

1. 在 ApplicationController 新建 abilities 对象。

def abilities
  @abilities ||= Six.new
end

2. 可独立在model文件夹下新建一个 Abilities 类集中管理全站的权限，例如：

  #app/model/ability.rb
  class Ability
    self.def allow(user,subject)
      return not_auth_abilities(user,subject) if user.nil?
      return [] unless user.kind_of?(User)
      return [] if user.blocked?

      case subject.class.name
      when "Project" then project_abilities(user,subject)
      when "Issue" then issue_abilities(user,subject)
      ....
      else []
      end
    end

    def project_abilities(user,project)
      rules = []
      rules << project_guest_rules if project.public?
      ....
      rules.flatten
    end

    def project_guest_rules
      [
          :read_project,
          :read_wiki,
          .....
          :write_issue
      ]
    end
  end

allowed方法最终返回一个包含各种权限的数组

3. 在 ApplicationController 中把 Ability 类添加到 @abilities 对象

def add_abilities
  abilities << Ability
end

4. 在controller和view中使用six做权限判断
   把six的allowed?方法封装为帮助方法:

def can?(object,action,subject)
  abilities.allowed?(object,action,subject)
end

5. 确保步骤1，3，4在ApplicationController中被执行。

• 步骤一中的 abilities 和步骤四种的 can? 方法应定义为帮助方法
• 步骤三中的 add_abilities 应在 ApplicationController 加载时优先被执行。

  before_filter add_abilities
  helper_method :abilities, :can?
  

最后你可以在任意controller或view中使用帮助方法 can? 对用户进行权限判断了。
例如在view中判断用户是非有读仓库的操作:

can?(current_user, :read_project, @project)