本文详细介绍了在Rails应用中使用Turbo Streams进行实时更新时,如何解决服务器端权限(如Pundit)无法直接应用于流式内容的问题。通过结合StimulusJS和Turbo Streams的生命周期事件,我们展示了如何在客户端接收并渲染Turbo Stream内容后,动态地通过AJAX请求获取资源权限,并据此调整UI元素的可见性,从而实现精细化的客户端权限控制。
在现代Rails应用中,Hotwire框架(特别是Turbo Streams)为实时更新提供了强大而简洁的解决方案。然而,当涉及到需要根据用户权限动态显示或隐藏UI元素时,传统的服务器端权限管理库(如Pundit)在Turbo Streams的上下文中可能会遇到挑战。这是因为Turbo Streams通常通过ActionCable推送预渲染的HTML片段,这些片段在服务器端渲染时,可能无法访问完整的请求上下文(例如Warden::Proxy实例),导致权限策略无法正确评估。
本文将详细介绍一种解决方案,该方案通过在客户端拦截Turbo Stream的渲染过程,并结合StimulusJS控制器,在内容被添加到DOM后,异步获取并应用用户权限,从而实现动态的UI控制。
假设一个Rails应用使用Turbo Streams实时更新项目列表。每个列表项都包含“编辑”和“删除”按钮,其可见性应根据当前用户的权限(例如,通过Pundit策略policy(my_model).edit?判断)来决定。当列表项通过Turbo Stream更新或创建时,如果直接在服务器端渲染的Turbo Stream片段中执行Pundit策略,可能会因为缺少请求上下文而失败,导致权限判断失效。
为了解决这个问题,我们的策略是在服务器端不对这些敏感按钮进行权限判断,而是默认隐藏它们。然后,在客户端接收并渲染Turbo Stream内容后,通过JavaScript(StimulusJS)异步请求该资源的权限信息,并根据返回结果动态显示或隐藏按钮。
为了避免在Turbo Stream请求中执行Pundit策略时出现错误,我们首先在ApplicationController中定义一个辅助方法,用于检测当前请求是否为Turbo Stream类型。
# app/controllers/application_controller.rb def turbo_stream? formats.any?(:turbo_stream) end helper_method :turbo_stream?
这个turbo_stream?辅助方法可以在视图中使用,以便在渲染Turbo Stream时跳过Pundit权限检查,并默认隐藏需要权限控制的按钮。
在资源局部视图中,我们需要进行以下修改:
<!-- app/views/resource/_resource.html.erb -->
<%= turbo_frame_tag resource do %>
<div id="<%= dom_id resource %>"
data-resource-url="<%= resource_path(resource, format: :json) %>">
<!-- 省略其他代码 -->
<% if turbo_stream? || policy(resource).edit? %>
<%= link_to edit_resource_path(resource),
class: "btn btn-primary #{'d-none' if turbo_stream?}",
data: { resource_action: :edit } do %>
<i class="las la-edit"></i>
<span class="d-none d-lg-inline">
<%= t("buttons.edit") %>
</span>
<% end %>
<% end %>
<% if turbo_stream? || policy(resource).destroy? %>
<%= link_to resource,
class: "btn btn-danger #{'d-none' if turbo_stream?}",
data: {
resource_action: :destroy,
turbo_confirm: t("confirm.short"),
turbo_method: :delete
} do %>
<i class="las la-trash-alt"></i>
<span class="d-none d-lg-inline">
<%= t("buttons.remove") %>
</span>
<% end %>
<% end %>
</div>
<% end %>为了让客户端能够获取资源的权限信息,我们需要修改资源的JSON模板,使其包含当前用户的编辑和删除权限。
# app/views/resources/_resource.json.jbuilder json.permissions do json.edit policy(resource).edit? json.destroy policy(resource).destroy? end
注意: 在这个JSON模板中,policy(resource).edit?和policy(resource).destroy?是直接在服务器端执行的,但这是在处理一个标准的JSON API请求时,而不是在渲染Turbo Stream时,因此Pundit能够正确访问请求上下文。
核心逻辑在于创建一个Stimulus控制器,它监听turbo:before-stream-render事件。这个事件允许我们在Turbo Stream内容被渲染到DOM之前拦截它。我们将修改事件的render方法,使其在执行默认渲染逻辑之后,再运行我们自定义的权限处理逻辑。
// app/javascript/controllers/turbostream_controller.js
import Rails from "@rails/ujs"
import { Controller } from "@hotwired/stimulus"
export default class extends Controller {
// Stimulus 控制器连接时,添加事件监听器
connect() {
// 监听 turbo:before-stream-render 事件
addEventListener("turbo:before-stream-render",
(e) => { this.beforeStreamRender(e) })
}
// 处理 turbo:before-stream-render 事件
beforeStreamRender(event) {
// 保存 Turbo Stream 默认的渲染方法
const defaultAction = event.detail.render
// 覆盖默认的渲染方法,在执行完默认渲染后,再调用我们的处理逻辑
event.detail.render = (streamElement) => {
defaultAction(streamElement) // 执行 Turbo Stream 的默认渲染
try {
this.processStream(streamElement) // 执行自定义的流处理逻辑
} catch(error) {
console.error("Error processing Turbo Stream:", error)
}
}
}
// 处理渲染后的 Turbo Stream 元素
processStream(streamElement) {
// 检查 Turbo Stream 的动作类型,只处理 'prepend', 'append', 'update'
if (["prepend", "append", "update"].includes(streamElement.action)) {
// 获取流元素中的模板内容
var template = streamElement.children[0].content
// 在模板内容中查找带有 data-resource-url 属性的 div
var templateDiv = template.querySelector('[data-resource-url]')
if (templateDiv != null) {
// 获取资源的 DOM ID
var id = templateDiv.getAttribute('id')
// 调用方法设置动作按钮的可见性
this.setActionButtonVisibility(id)
}
}
}
// 根据权限设置动作按钮的可见性
setActionButtonVisibility(id) {
// 查找 DOM 中对应的资源 div
var div = document.querySelector(`div#${id}`)
if (!div) {
console.warn(`Resource div with id ${id} not found.`)
return;
}
// 获取资源的 URL
var url = div.getAttribute('data-resource-url')
// 查找编辑和删除按钮
var editButton = div.querySelector('[data-resource-action="edit"]')
var destroyButton = div.querySelector('[data-resource-action="destroy"]')
// 如果按钮不存在,则无需进一步处理
if (!editButton && !destroyButton) {
return;
}
// 使用 Rails UJS 发送 AJAX GET 请求获取权限数据
Rails.ajax({
type: "GET",
url: url,
success: (data, _status, _xhr) => {
try {
// 根据返回的权限数据,切换按钮的 'd-none' 类
// 如果 data.permissions.edit 为 false,则添加 'd-none',否则移除
if (editButton) {
editButton.classList.toggle('d-none', !data.permissions.edit)
}
if (destroyButton) {
destroyButton.classList.toggle('d-none', !data.permissions.destroy)
}
} catch(error) {
console.error("Error setting action button visibility:", error)
}
},
error: (xhr, status, error) => {
console.error(`Failed to fetch permissions for ${url}:`, status, error);
}
})
}
}最后一步是将Stimulus控制器连接到你的视图。只需将包含Turbo Stream更新内容的区域用一个带有data-controller="turbostream"属性的div包裹起来即可。
<!-- app/views/resource/index.html.erb -->
<div data-controller="turbostream">
<!-- 你的原始资源列表代码,例如: -->
<%= turbo_stream_from "resources" %>
<div id="resources">
<% @resources.each do |resource| %>
<%= render resource %>
<% end %>
</div>
</div>通过上述步骤,我们成功地在Rails Turbo Streams环境中实现了客户端权限控制,确保了实时更新的UI能够根据用户的具体权限动态调整,同时规避了服务器端权限策略在特定上下文中的限制。这种方法提供了一个灵活且强大的解决方案,适用于需要精细化UI权限管理的Web应用。
以上就是如何在Turbo Streams中实现客户端权限控制和动态UI更新的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
594
