У меня есть две модели, события и пользователи, которые имеют ассоциацию «многие ко многим». Пользователь может быть администратором, менеджером или продюсером. Только производитель, который принадлежит к событию, должен иметь возможность прочитать это событие. Я пытался применить это ограничение к модели способностей, но это не помогло, и каждый производитель может читать все события. Что я делаю неправильно?
class Event < ActiveRecord::Base
has_and_belongs_to_many :producers, :class_name => "User", :join_table => "events_producers"
end
class CreateEventUserJoinTable < ActiveRecord::Migration
def self.up
create_table :events_producers, :id => false do |t|
t.integer :event_id
t.integer :user_id
end
end
def self.down
drop_table :events_producers
end
end
class Ability
include CanCan::Ability
def initialize(user)
user ||= User.new() # Guest user
if user.role? :manager
can :manage, :all
elsif user.role? :admin
can :read, Event
can :update, Event
can :create, Event
elsif user.role? :producer
can :read, Event do |event|
event.try(:producers).include?(user)
end
end
end
end
