Cant разрешает вложенные ресурсы с помощью Pundit

Question

Вот моя проблема. У меня есть несколько пользователей с несколькими подписками каждый, и я хочу авторизовать метод индекса подписки с Pundit. Мой routes.rb:

resources :users do 
    resources : subscriptions 
end

Давайте предположим, что я пользователь с идентификатором . Что мне нужно, чтобы получить список подписок, когда я открываю /users/1/subscriptions и ошибки доступа Pundit, когда я открываю /user/2/subscriptions

Вот мой subscriptions_controller.rb

SubscriptionController < ApplicationController 
    def index 
     @user = User.find(params[:user_id]) 
     @subscriptions = @user.subscriptions 

     authorize @subscriptions 
    end 
end

я могу сделать authorize @user, :subscriptions_index, но он просто чувствует себя неправильно писать правила пользователя для аутентификации подписки. Как мне подойти к этой проблеме? Заранее спасибо.

Answer 1

Это должно работать для вас (не может быть наиболее эффективным):

class SubscriptionController < ApplicationController 
    def index 
    @user = User.find(params[:user_id]) 
    # this should either return the same or an empty association 
    @subscriptions = @user.subscriptions 
    authorize @subscriptions 
    end 
end 

class SubscriptionPolicy < ApplicationPolicy 
    def index? 
    # asking if all subscriptions have the current_user id as the user_id 
    record.all? {|sub| sub.user_id == user.id }   
    end 
end