ログイン中のユーザーが他ユーザーの編集ページにアクセスできないように制限をかけたい

ログイン中のユーザーが他ユーザーの編集ページにアクセスできないように制限をかけたいのですが、解決できず他のユーザーの編集ページのURLを直接入力すると移遷できてしまいます。

app/views/controllers/prototypes_controller.rb

ruby
1class PrototypesController < ApplicationController
2  before_action :authenticate_user!, only: [:new, :edit, :destroy]
3  
4  def index
5    @prototypes = Prototype.all
6  end
7
8  def new
9    @prototype = Prototype.new
10  end
11
12  def create
13    @prototype = Prototype.new(prototype_params)
14    if @prototype.save
15      redirect_to root_path
16    else
17      render :new
18    end
19  end
20
21  def show
22    @prototype = Prototype.find(params[:id])
23    @comment = Comment.new
24    @comments = @prototype.comments.includes(:user)
25  end
26
27  def edit
28    @prototype = Prototype.find(params[:id])
29    unless user_signed_in?
30      redirect_to root_path
31    end
32  end
33
34  def update
35    @prototype = Prototype.find(params[:id])
36    if @prototype.update(prototype_params)
37      redirect_to prototype_path
38    else
39      render :edit
40    end
41  end
42
43  def destroy
44    prototype = Prototype.find(params[:id])
45    if prototype.destroy
46      redirect_to root_path
47    end
48  end
49
50  private
51  def prototype_params
52    params.require(:prototype).permit(:concept, :image, :title, :catch_copy).merge(user_id: current_user.id)
53  end
54end
55

app/views/controllers/users_controller.rb

ruby
1class UsersController < ApplicationController
2  def show
3    @user = User.find(params[:id])
4    @prototypes = @user.prototypes
5  end
6end

試してみたこと

1つ目のprototypes_controller.rbのファイルでauthenticate_user!メソッドを使い、editアクションにもunlessを使って制限をかけたつもりですが、何か抜けているのでしょうか。

m.ts10806

2021/02/12 07:00

設計としては「編集中である」というのをいつどこに持たせ、いつどこでどう更新していますか？

lwbox

2021/02/12 08:01

恐縮ですが、具体的な流れといったところでしょうか？

lwbox

2021/02/12 08:35

解決しました。大丈夫です。

m.ts10806

2021/02/12 08:56

「設計」です。

m.ts10806

2021/02/12 08:59

どんな小さなアプリケーションでも設計なしで取り組むのはあり得ない。手書きでも画面とデータとイベントくらいは考えておかないと途中でグチャグチャになる。「考えながら書く」ではなく「考えてから書く」

行動規範の内容に同意します

回答2件

結論としては以下のコードになりました。

ruby
1class PrototypesController < ApplicationController
2  before_action :authenticate_user!, only: [:new, :edit, :destroy, :update]
3  before_action :move_to_index, only: [:edit, :update]
4
5  def index
6    @prototypes = Prototype.all
7  end
8
9  def new
10    @prototype = Prototype.new
11  end
12
13  def create
14    @prototype = Prototype.new(prototype_params)
15    if @prototype.save
16      redirect_to root_path
17    else
18      render :new
19    end
20  end
21
22  def show
23    @prototype = Prototype.find(params[:id])
24    @comment = Comment.new
25    @comments = @prototype.comments.includes(:user)
26  end
27
28  def edit
29    @prototype = Prototype.find(params[:id])
30    unless user_signed_in?
31      redirect_to root_path
32    end
33  end
34
35  def update
36    @prototype = Prototype.find(params[:id])
37    if @prototype.update(prototype_params)
38      redirect_to prototype_path
39    else
40      render :edit
41    end
42  end
43
44  def destroy
45    prototype = Prototype.find(params[:id])
46    if prototype.destroy
47      redirect_to root_path
48    end
49  end
50
51  private
52  def prototype_params
53    params.require(:prototype).permit(:concept, :image, :title, :catch_copy).merge(user_id: current_user.id)
54  end
55
56  def move_to_index
57    unless user_signed_in? == current_user.name
58      redirect_to root_path
59    end
60  end
61end
62

遠回りになりますが、３行目のbefore_actionをもう一つ加えました。そしてそのアクションを最下部で定義し、アクションを追記しました。
今回のポイントとしては、user_signed_in? だけだとログインしている全てのユーザーということになってしまうのでcurrent_user.name を条件式に追加し、ふたつ揃わないとトップページにリダイレクトするように設定しないといけなかったことです。

投稿2021/02/12 08:51

lwbox

総合スコア1

自己解決

結論としては以下のコードになりました。

ruby
1class PrototypesController < ApplicationController
2  before_action :authenticate_user!, only: [:new, :edit, :destroy, :update]
3  before_action :move_to_index, only: [:edit, :update]
4
5  def index
6    @prototypes = Prototype.all
7  end
8
9  def new
10    @prototype = Prototype.new
11  end
12
13  def create
14    @prototype = Prototype.new(prototype_params)
15    if @prototype.save
16      redirect_to root_path
17    else
18      render :new
19    end
20  end
21
22  def show
23    @prototype = Prototype.find(params[:id])
24    @comment = Comment.new
25    @comments = @prototype.comments.includes(:user)
26  end
27
28  def edit
29    @prototype = Prototype.find(params[:id])
30    unless user_signed_in?
31      redirect_to root_path
32    end
33  end
34
35  def update
36    @prototype = Prototype.find(params[:id])
37    if @prototype.update(prototype_params)
38      redirect_to prototype_path
39    else
40      render :edit
41    end
42  end
43
44  def destroy
45    prototype = Prototype.find(params[:id])
46    if prototype.destroy
47      redirect_to root_path
48    end
49  end
50
51  private
52  def prototype_params
53    params.require(:prototype).permit(:concept, :image, :title, :catch_copy).merge(user_id: current_user.id)
54  end
55
56  def move_to_index
57    unless user_signed_in? == current_user.name
58      redirect_to root_path
59    end
60  end
61end
62