ruby-on-rails - 如何避免在 Rails 嵌套表单中为 user_id 使用隐藏字段

问题描述

我觉得这在 Rails 中应该是一件容易的事情，但是 Rails 中所有嵌套表单的示例都没有考虑到大多数嵌套表单在通过嵌套表单创建新对象时也需要传递 current_user 的事实。

目前我可以让它工作的唯一方法是传递一个隐藏字段，例如<%= form.hidden_field :user_id, value: current_user.id %>.

对于我的具体示例，我有一个名为“Result”的模型，它有很多“Lessons”，我想通过 Result 表单创建新课程，而不传递 hidden :user_id。

这似乎不安全，因为有人可以在浏览器中编辑该隐藏字段，然后提交表单，从而将提交与不同的用户相关联。current_user.id 似乎是您不想作为隐藏字段嵌入到 html 中的类型。

那么如何在不将隐藏字段放入表单的情况下创建嵌套对象和 current_user 之间的关联呢？

仅供参考，我正在使用带有刺激风格 javascript 的 GoRails 嵌套表单从结果表单中添加和删除课程。（这是该示例的源代码。）以下是我的代码的相关部分：

模型/结果.rb

class Result < ApplicationRecord
  belongs_to :user
  has_many :lessons, inverse_of: :result

  accepts_nested_attributes_for :lessons, reject_if: :all_blank, allow_destroy: true
end

模型/课程.rb

class Lesson < ApplicationRecord
  belongs_to :user
  belongs_to :result
end

控制器/results_controller.rb

class ResultsController < ApplicationController
  before_action :set_result, only: [:show, :edit, :update, :destroy]

  def new
    @result = Result.new
    @result.lessons.new
  end

  def create
    @result = current_user.results.new(result_params)

    respond_to do |format|
      if @result.save
        format.html { redirect_to @result, notice: 'Result was successfully created.' }
      else
        format.html { render :new }
      end
    end
  end

  private
    def set_result
      @result = Result.find(params[:id])
    end

    def result_params
      params.require(:result).permit(:prediction_id, :post_mortem, :correct,
                                     lessons_attributes: [:user_id, :id, :summary, :_destroy])
    end
end

控制器/lessons_controller.rb

class LessonsController < ApplicationController
  before_action :set_lesson, only: [:show, :edit, :update, :destroy]

  # GET /lessons/new
  def new
    @lesson = Lesson.new
  end

  def create
    @lesson = current_user.lessons.new(lesson_params)

    respond_to do |format|
      if @lesson.save
        format.html { redirect_to @lesson, notice: 'Lesson was successfully created.' }
      else
        format.html { render :new }
      end
    end
  end

  private
    def set_lesson
      @lesson = Lesson.find(params[:id])
    end

    def lesson_params
      params.require(:lesson).permit(:result_id, :summary)
    end
end

意见/结果/_form.html.erb

<%= form_with(model: result, local: true) do |form| %>

  <h3>Lessons</h3>

  <div data-controller="nested-form">
    <template data-target="nested-form.template">
      <%= form.fields_for :lessons, Lesson.new, child_index: 'NEW_RECORD' do |lesson| %>
        <%= render "lesson_fields", form: lesson %>
      <% end %>
    </template>

    <%= form.fields_for :lessons do |lesson| %>
      <%= render "lesson_fields", form: lesson %>
    <% end %>

    <div class="pt-4" data-target="nested-form.links">
      <%= link_to "Add Lesson", "#",
                  data: { action: "click->nested-form#add_association" } %>
    </div>
  </div>

  <div class="form-submit">
   <%= form.submit "Save" %>
 </div>

<% end %>

意见/结果/_lesson_fields.html.erb

<%= content_tag :div, class: "nested-fields", data: { new_record: form.object.new_record? } do %>
  # This hidden field seems unsafe!
  <%= form.hidden_field :user_id, value: current_user.id %>

  <div class="pb-8">
    <%= form.text_area :summary %>
    <%= link_to "Remove", "#", 
                data: { action: "click->nested-form#remove_association" } %>
  </div>

  <%= form.hidden_field :_destroy %>
<% end %>

我确定这是 Rails 中的一个常见问题，但我在网上找不到任何将 user_id 作为嵌套字段示例的一部分的教程。任何帮助深表感谢！

标签： ruby-on-railsrubynested-forms