Otorisasi dengan Pundit

() translation by (you can also view the original English article)

Pundit adalah sebuah alat yang mengizinkanmu melarang bagian tertentu dari aplikasi Rails mu untuk otorisasi pengguna. Caranya dengan menyediakan beberapa pembantu padamu.

Dalam tutorial ini, kamu akan membuat sebuah blog yang melarang beberapa bagian seperti membuat, memperbaharui dan menghapus artikel kecuali oleh pengguna yang terotorisasi.

Memulai

Pertama dimulai dengan membuat sebuah aplikasi Rails baru.

1	rails new pundit-blog -T

Tanda -T memberi tahu Rails untuk membuat aplikasi baru tanpa test suite bawaan. Menjalankan perintah tersebut akan membuat aplikasi Railsmu dan memasan gems bawaan.

Lalu, tambahkan gems berikut ke gemfile mu. Kamu akan menggunakan bootsrap-sass untuk layout aplikasimu, dan Devise akan mengurus otentikasi pengguna.

#Gemfile

...
gem 'bootstrap-sass'
gem 'devise'

Jalankan perintah untuk memasang gem

1	bundle install

Sekarang ganti nama app/assets/stylesheets/application.css menjadi app/assets/stylesheets/application.scs. Dan tambahkan baris berikut ke bootstrap import.

#app/assets/stylesheets/application.scss

...
@import 'bootstrap-sprockets';
@import 'bootstrap';

Buat sebuah partial bernama _navigation.html.erb untuk menjaga kode navigasi; partial harus diletakkan di app/views/layouts. Buat partial tampak seperti di bawah.

#app/views/layouts/_navigation.html.erb

<nav class="navbar navbar-inverse">
  <div class="container">
    <div class="navbar-header">
      <%= link_to 'Pundit Blog', root_path, class: 'navbar-brand' %>
    </div>
    <div id="navbar">
 
    <ul class="nav navbar-nav pull-right">
      <li><% link_to 'Home', root_path %></li>
      <ul class="nav navbar-nav pull-right">
        <% if user_signed_in? %>
        <li><%= current_user.email %></li>
        <li><%= link_to 'Log out', destroy_user_session_path, method: :delete %></li>
        <% else %>
          <li><%= link_to 'Log In', new_user_session_path %></li>
          <li><%= link_to 'Sign Up', new_user_registration_path %></li>
        <% end %>
      </ul>
    </ul>
  </div>
</nav>

Untuk navigasi yang digunakan, kamu perlu merendernya di dalam layout aplikasi. Tweak layout aplikasimu menjadi seperti di bawah.

#app/views/layouts/application.html.erb

<!DOCTYPE html>
<html>
  <head>
    <title>Pundit-Blog</title>
    <%= csrf_meta_tags %>

    <%= stylesheet_link_tag    'application', media: 'all', 'data-turbolinks-track': 'reload' %>
    <%= javascript_include_tag 'application', 'data-turbolinks-track': 'reload' %>
  </head>

  <body>
    <%= render "layouts/navigation" %>
    <div id="flash">
      <% flash.each do |key, value| %>
        <div class="flash <%= key %>"><%= value %></div>
      <% end %>
    </div>
    <div class="container-fluid">
      <%= yield %>
    </div>
  </body>
</html>

Membuat User Model

Jalankan perintah untuk memasang Devise.

1	rails generate devise:install

Sekarang buat User Model mu.

1	rails generate devise User

Migrasikan database-mu.

1	rake db:migrate

Membuat Article Resources

Jalankan perintah untuk membuat article resource mu.

1	rails generate scaffold Articles title:string body:text

Ini akan membuat ArticleController dan Article Model. Juga akan membuat views yang diperlukan.

Sekarang migrasikan database-mu menggunakan:

1	rake db:migrate

Buka app/views/articles/_form.html.erb dan buat menjadi tampak seperti di bawah ini.

#app/views/articles/_form.html.erb

<%= form_for(article) do |f| %>
  <% if article.errors.any? %>
    <div id="error_explanation">
      <h2><%= pluralize(article.errors.count, "error") %> prohibited this article from being saved:</h2>

      <ul>
      <% article.errors.full_messages.each do |message| %>
        <li><%= message %></li>
      <% end %>
      </ul>
    </div>
  <% end %>

  <div class="field">
    <%= f.label :title %>
    <%= f.text_field :title %>
  </div>

  <div class="field">
    <%= f.label :body %>
    <%= f.text_area :body %>
  </div>

  <div class="actions">
    <%= f.submit %>
  </div>
<% end %>

Untuk index file, dia harus tampak seperti ini.

#app/views/articles/index.html.erb

<table class="table table-bordered table-striped table-condensed table-hover">
  <thead>
  <tr>
    <th>Title</th>
    <th>Body</th>
    <th colspan="3"></th>
  </tr>
  </thead>

  <tbody>
    <% @articles.each do |article| %>
    <tr>
      <td><%= article.title %></td>
      <td><%= article.body %></td>
      <td><%= link_to 'Show', article %></td>
      <td><%= link_to 'Edit', edit_article_path(article) %></td>
      <td><%= link_to 'Destroy', article, method: :delete, data: { confirm: 'Are you sure?' } %></td>
    </tr>
    <% end %>
  </tbody>
</table>

<br>

<%= link_to 'New article', new_article_path %>

Kode di atas menyusun artikel-artikel di halaman indeks ke dalam format tabel untuk membuatnya lebih mudah ditampilkan.

Buka berkas routes mu dan tambahkan routes untuk resource articles.

#config/routes.rb

...
  resources :articles
  root to: "articles#index"

Mengintegrasikan Pundit

Tambahkan Pundit gem ke Gemfile mu.

1	#Gemfile
2
3	...
4	gem 'pundit'

Jalankan perintah untuk memasang.

1	bundle install

Integrasikan Pundit dengan aplikasimu dengan menambahkan baris berikut ke ApplicationController mu.

#app/controllers/application_controller.rb

...
  include Pundit
...

Jalankan generator Pundit

1	rails g pundit:install

Ini akan membuat folder app/policies yang berisi class dasar dengan policies. Setiap policy adalah class Ruby dasar.

Seperti inilah tampilan dari base class policy.

#app/policies/application_policy.rb

class ApplicationPolicy
  attr_reader :user, :record

  def initialize(user, record)
    @user = user
    @record = record
  end

  def index?
    false
  end

  def show?
    scope.where(:id => record.id).exists?
  end

  def create?
    false
  end

  def new?
    create?
  end

  def update?
    false
  end

  def edit?
    update?
  end

  def destroy?
    false
  end

  def scope
    Pundit.policy_scope!(user, record.class)
  end

  class Scope
    attr_reader :user, :scope

    def initialize(user, scope)
      @user = user
      @scope = scope
    end

    def resolve
      scope
    end
  end
end

Membuat Article Policy

Sekarang kamu harus menulis policy mu sendiri. Untuk tutorial ini, kamu ingin untuk hanya mengizinkan pengguna terdaftar untuk membuat artikel baru. Di samping itu, hanya pembuat dari sebuah artikel yang bisa mengubah dan menghapus artikel.

Untuk mencapainya, article policy mu akan tampak seperti ini.

#app/policies/article_policy.rb

class ArticlePolicy < ApplicationPolicy
  def index?
    true
  end

  def create?
    user.present?
  end

  def update?
    return true if user.present? && user == article.user
  end

  def destroy?
    return true if user.present? && user == article.user
  end

  private

    def article
      record
    end
end

Di atas kita, kita mengizinkan siapaun ( pengguna terdaftar dan tidak terdaftar ) untuk melihat laman indeks. Unbtuk membuat artikel baru, sebuah pengguna harus terdaftar. Kamu menggunakan user.present? untuk mencari tahu apabila pengguna mencoba untuk melakukan aksi yang terdaftar.

Untuk memperbaharui dan menghapus, kamu harus pastikan hanya pembuat artikel yang bisa melakukan aksi tersebut.

Pada tahap ini, kamu perlu membuat sebuah hubungan antara Article dengan model User.

Kamu melakukannya dengan membuat sebuah migrasi baru.

1	rails generate migration add_user_id_to_articles user:references

Lalu, migrasikan database-mu dengan menjalankan kode:

1	rake db:migrate

Buka model User dan tambahkan baris yang membungkus hubungan.

1	#app/models/user.rb
2
3	...
4	has_many :articles

Model Article-mu harus memiliki ini.

1	#app/models/article.rb
2
3	...
4	belongs_to :user

Sekarang kamu harus memperbaharui ArticlesController sehingga ini tersinkron dengan apa yang telah kamu lakukan sejauh ini.

#app/controllers/articles_controller.rb

class ArticlesController < ApplicationController
  before_action :set_article, only: [:show, :edit, :update, :destroy]

  # GET /articles
  # GET /articles.json
  def index
    @articles = Article.all
    authorize @articles
  end

  # GET /articles/1
  # GET /articles/1.json
  def show
  end

  # GET /articles/new
  def new
    @article = Article.new
    authorize @article
  end

  # GET /articles/1/edit
  def edit
  end

  # POST /articles
  # POST /articles.json
  def create
    @article = Article.new(article_params)
    @article.user = current_user
    authorize @article

    respond_to do |format|
      if @article.save
        format.html { redirect_to @article, notice: 'Article was successfully created.' }
        format.json { render :show, status: :created, location: @article }
      else
        format.html { render :new }
        format.json { render json: @article.errors, status: :unprocessable_entity }
      end
    end
  end

  # PATCH/PUT /articles/1
  # PATCH/PUT /articles/1.json
  def update
    respond_to do |format|
      if @article.update(article_params)
        format.html { redirect_to @article, notice: 'Article was successfully updated.' }
        format.json { render :show, status: :ok, location: @article }
      else
        format.html { render :edit }
        format.json { render json: @article.errors, status: :unprocessable_entity }
      end
    end
  end

  # DELETE /articles/1
  # DELETE /articles/1.json
  def destroy
    @article.destroy
    respond_to do |format|
      format.html { redirect_to articles_url, notice: 'Article was successfully destroyed.' }
      format.json { head :no_content }
    end
  end

  private
    # Use callbacks to share common setup or constraints between actions.
    def set_article
      @article = Article.find(params[:id])
      authorize @article
    end

    # Never trust parameters from the scary internet, only allow the white list through.
    def article_params
      params.require(:article).permit(:title, :body, :user_id)
    end
end

Pada titik ini di aplikasimu, kamu telah sukses mengimplementasikan policy yang akan menghalangi beberapa bagian dari aplikasimu untuk beberapa pengguna.

Kamu bisa menambahkan pesan error standar yang akan tampil kapanpun seorang pengguna tak terdaftar mencoba untuk memasuki halaman terbatas. Untuk melakukannya tambahkan hal berikut ke ApplicationController mu.

#app/controllers/application_controller.rb

...
  rescue_from Pundit::NotAuthorizedError, with: :user_not_authorized

  private

    def user_not_authorized
      flash[:warning] = "You are not authorized to perform this action."
      redirect_to(request.referrer || root_path)
    end

Kode ini secara sederhana me-render teks biasa yang akan memberi tahu pengguna bahwa dia tidak terotorisasi untuk melakukan aksi tersebut.

Jalankan:

1	$ rails server

Untuk menjalankan server Rails, buka browsermu ke https://localhost:3000 untuk melihat yang kamu miliki.

Kesimpulan

Di tutorial ini, kamu telah belajar cara bekerja baik dengan Devise dan Pundit. Kamu bisa membuat policy yang hanya mengizinkan pengguna terotorisasi untuk melihat bagian tertentu dari aplikasi. Kamu juga telah membuat sebuah pesan error dasar yang tampil ketika pengguna tidak terotorisasi mencoba mengakses bagian terlarang dari aplikasi.

Kamu bisa belajar lebih banyak mengenai Pundit dengan mengecek laman GitHubnya

1	#app/policies/application_policy.rb
2
3	class ApplicationPolicy
4	attr_reader :user, :record
5
6	def initialize(user, record)
7	@user = user
8	@record = record
9	end
10
11	def index?
12	false
13	end
14
15	def show?
16	scope.where(:id => record.id).exists?
17	end
18
19	def create?
20	false
21	end
22
23	def new?
24	create?
25	end
26
27	def update?
28	false
29	end
30
31	def edit?
32	update?
33	end
34
35	def destroy?
36	false
37	end
38
39	def scope
40	Pundit.policy_scope!(user, record.class)
41	end
42
43	class Scope
44	attr_reader :user, :scope
45
46	def initialize(user, scope)
47	@user = user
48	@scope = scope
49	end
50
51	def resolve
52	scope
53	end
54	end
55	end