NO.1 引入cancancan和rolify

gem 'cancancan', '~>1.10'
gem "rolify"
bundle
生成ability模型

rails g cancan:ability
rails g rolify Role Admin

Admin为之前devise用登录模型

NO.2 在需要进行权限验证的控制器里里加上load_and_authorize_resource，例如：

class Admins::AdminsController < ApplicationController
  load_and_authorize_resource

这样就可以对整个控制器的所有动作进行验证，而不需要手动的对每个动作进行验证
运行项目后访问admins控制器后，报错

undefined local variable or method `current_user' for #<Admins::AdminsController:0x000000060c9e40>

因为我的项目中用登录注册的模型为admin,所以current_user这个方法是不存在的，需要把他改掉
在ApplicationController中，将current_user 替换为current_admin：

alias_method :current_user, :current_admin

刷新后，依然报错：

ArgumentError in Admins::AdminsController#index

这是rolify自带的一个bug，暂未修复，解决办法是将：

belongs_to :resource,
           :polymorphic => true，
           :optional => true

改为

belongs_to :resource,
           :polymorphic => true

NO.3 rolify的主要作用是用来关联用户和角色的。

它封装了2个主要的方法：
add_role :admin,用来添加角色;
has_role? :admin, 判断是否有这个角色;

在新建用户的是时候，将角色和用户关联起来,params[:role]为页面上传过来的参数

  def create
    admin = Admin.new(admin_params)
    if admin.save
      admin.add_role params[:role]
      respond_to do |format|
        format.html
        format.js
      end
    else
      render 'new'
    end
  end

角色和用户关联成功。

NO.4 接下来就是在views里面和ablity.rb里面设置具体权限。

例如：如果有创建服务的权限，在服务模板的视图中做如下控制：

<ul>
<% if can? :create, Service %>
  <li><%= link_to '添加服务',  new_admins_service_path %></li>
<% end %>
  <li><%= link_to '服务列表',  admins_services_path %></li>
</ul>

在ablity.rb中，做如下控制：

class Ability
  include CanCan::Ability
  def initialize(user)
    if user.blank?
      cannot :manage, :all
    ####超级管理员权限####
    elsif user.has_role? :admin
      can :manage, :all
    ####店长权限####
    elsif user.has_role? "店长"
      #####显示属于自己的店铺#####
      can :show, Shop do |shop|
      (shop.admin_id == user.id)
      end
      #####显示属于自己店铺列表#####
      can :my_shop, Shop do |shop|
      (shop.admin_id == user.id)
      end
      ####编辑修改属于自己的店铺####
      can :update, Shop do |shop|
      (shop.admin_id == user.id)
      end
      #######切换店铺开关状态#######
      can :switch, Shop do |shop|
      (shop.admin_id == user.id)
      end
      ######管理所有本店铺的理发师######
      can :manage, Barber
      ####管理本店铺的服务####
      can :manage, ShopService
      ####查看所有的服务模板####
      can :read, Service
      ###看到属于自己的订单统计###
      can :stat, Order
    end
  end
end

所以，当角色为店长的用户登录的时候，是视图中，是看不见"添加服务"这个选项的，因为can :read, Service,而视图中需要创建权限才能看到。

NO.5 当控制器中的某个action没有对应的具体model时，该如何处理

在控制中加入load_and_authorize_resource的时候，可以指定class

class Admins::StatsController < ApplicationController
   include ::Wechat::OrdersHelper
   load_and_authorize_resource :class => "Order"
  def stat
     @orders = initialize_grid(
        Order,
        include: :barber,
        conditions: ['shop_id = ?', current_admin.shop],
        per_page: 20
      )
  end

在ablity.rb中，做如下控制：
can :stat, Order

NO.6 权限类别说明

权限类别说明 :manage, :all, ..etc.
cancan 里面用了一些自定义缩写，如 :manage、:read、:update、:all，让人不知道在做神马。

:manage: 是指這個 controller 內所有的 action
:read : 指 :index 和 :show
:update: 指 :edit 和 :update
:destroy: 指 :destroy
:create: 指 :new 和 :crate
而 :all 是指所有 object (resource)

當然，不只是 CRUD 的 method 才可以被列上去，如果你有其他非 RESTful 的 method 如 :search，也是可以寫上去..，只是要一條一條列上去，有點麻煩就是了。

組合技：alias_action
cancan 還提供了組合技，要是嫌原先的 :update, :read 這種組合包不夠用。還可以用 alias_action 自己另外再組。例如把 :update 和 :destroy 組成 :modify。

alias_action :update, :destroy, :to => :modify
   can :modify, Comment

参考资料：
cancancan
rolify
Cancan 實作角色權限設計的最佳實踐(1)
Cancan 實作角色權限設計的最佳實踐(2)
Cancan 實作角色權限設計的最佳實踐(3)