在Turbo Streams中实现基于用户权限的动态UI更新-js教程-PHP中文网

在Turbo Streams中实现基于用户权限的动态UI更新

本文旨在解决rails turbo streams与pundit权限系统结合时，因服务器端渲染上下文限制导致权限检查失效的问题。我们将介绍一种基于stimulus javascript框架的客户端解决方案，通过拦截turbo stream渲染事件，异步请求资源权限，并根据权限动态调整ui元素（如编辑/删除按钮）的可见性，确保实时更新的用户界面权限控制准确无误。

利用Stimulus实现Turbo Stream的客户端权限控制

在Rails应用中，Hotwire Turbo Streams为实现实时UI更新提供了强大支持。然而，当需要结合Pundit等授权库对这些动态更新的UI元素进行权限控制时，开发者常会遇到挑战。传统的服务器端Pundit策略检查在Turbo Stream的渲染上下文中可能无法正常工作，例如，会出现“Devise could not find the Warden::Proxy instance on your request environment”等错误，因为Turbo Stream的渲染过程可能不具备完整的请求上下文。

为了解决这一问题，我们可以采用一种客户端驱动的方法：在Turbo Stream内容到达并渲染到DOM后，通过JavaScript（特别是Stimulus）进行权限验证，并相应地调整UI元素的可见性。这种方法虽然会增加一次额外的客户端请求来获取权限信息，但它能有效地绕过服务器端渲染上下文的限制，确保用户界面的权限控制准确且动态。

以下是实现这一方案的详细步骤。

1. 服务器端辅助方法：识别Turbo Stream请求

首先，我们需要在服务器端提供一个辅助方法，用于判断当前请求是否为Turbo Stream请求。这有助于我们在视图中根据请求类型采取不同的渲染策略。

# app/controllers/application_controller.rb

class ApplicationController < ActionController::Base
  # ... 其他代码 ...

  def turbo_stream?
    formats.any?(:turbo_stream)
  end
  helper_method :turbo_stream?
end

登录后复制

这个turbo_stream?方法会检查请求的格式是否包含:turbo_stream。通过helper_method，我们可以在所有视图中方便地使用它。

2. 视图层修改：为权限检查做准备

接下来，我们需要修改资源的局部视图（例如_resource.html.erb），以便在Turbo Stream上下文中跳过服务器端的Pundit检查，并为客户端权限检查提供必要的数据属性。

<!-- app/views/resource/_resource.html.erb -->

<%= turbo_frame_tag resource do %>
  <div id="<%= dom_id resource %>"
       data-resource-url="<%= resource_path(resource, format: :json) %>">

    <!-- 省略其他内容 -->

    <% if turbo_stream? || policy(resource).edit? %>
      <%= link_to edit_resource_path(resource),
                  class: "btn btn-primary #{'d-none' if turbo_stream?}",
                  data: { resource_action: :edit } do %>
        <i class="las la-edit"></i>
        <span class="d-none d-lg-inline">
          <%= t("buttons.edit") %>
        </span>
      <% end %>
    <% end %>

    <% if turbo_stream? || policy(resource).destroy? %>
      <%= link_to resource,
                  class: "btn btn-danger #{'d-none' if turbo_stream?}",
                  data: {
                    resource_action: :destroy,
                    turbo_confirm: t("confirm.short"),
                    turbo_method: :delete
                  } do %>
        <i class="las la-trash-alt"></i>
        <span class="d-none d-lg-inline">
          <%= t("buttons.remove") %>
        </span>
      <% end %>
    <% end %>

  </div>
<% end %>

登录后复制

关键修改点：

data-resource-url: 在资源容器div上添加此属性，其值为该资源的JSON格式URL。客户端JavaScript将使用此URL来获取资源的权限信息。
data-resource-action: 在需要根据权限控制可见性的按钮（如编辑和删除）上添加此属性，值为相应的操作名称（edit或destroy）。这使得JavaScript能够轻松地定位这些按钮。
条件渲染与初始隐藏:
- <% if turbo_stream? || policy(resource).edit? %>: 如果是Turbo Stream请求，或者服务器端Pundit检查通过，则渲染按钮。
- class: "btn btn-primary #{'d-none' if turbo_stream?}": 当是Turbo Stream请求时，为按钮添加d-none类（Bootstrap的隐藏类），使其初始状态为隐藏。这样，在客户端权限检查完成之前，按钮不会显示。

3. JSON模板：提供权限信息

为了让客户端能够获取资源的权限信息，我们需要修改资源的JSON模板，使其包含当前用户的权限。

硅基智能

基于Web3.0的元宇宙，去中心化的互联网，高质量、沉浸式元宇宙直播平台，用数字化重新定义直播

查看详情

# app/views/resources/_resource.json.jbuilder

json.extract! resource, :id, :name, :description # 假设资源有id, name, description字段
# ... 其他资源属性 ...

json.permissions do
  json.edit policy(resource).edit?
  json.destroy policy(resource).destroy?
end

登录后复制

这样，当客户端通过data-resource-url请求资源时，返回的JSON数据中将包含一个permissions对象，指明当前用户对该资源是否具有编辑和删除权限。

4. Stimulus控制器：实现客户端权限逻辑

这是核心部分，我们将创建一个Stimulus控制器来监听Turbo Stream事件，并在内容渲染后执行权限检查。

// app/javascript/controllers/turbostream_controller.js

import Rails from "@rails/ujs"
import { Controller } from "@hotwired/stimulus"

export default class extends Controller {
  connect() {
    // 监听 turbo:before-stream-render 事件
    addEventListener("turbo:before-stream-render",
                     (e) => { this.beforeStreamRender(e) })
  }

  beforeStreamRender(event) {
    // 保存 Turbo Stream 默认的渲染行为
    const defaultAction = event.detail.render
    // 覆盖 event.detail.render 方法，在默认渲染之后执行我们的自定义逻辑
    event.detail.render = (streamElement) => {
      defaultAction(streamElement) // 执行 Turbo Stream 的默认渲染
      try { this.processStream(streamElement) } // 执行我们的权限处理
      catch(error) { console.error("Error processing Turbo Stream:", error) }
    }
  }

  processStream(streamElement) {
    // 检查 Turbo Stream 的操作类型，只处理 'prepend', 'append', 'update'
    if (["prepend", "append", "update"].includes(streamElement.action)) {
        // 获取 streamElement 中的模板内容
        var template = streamElement.children[0].content
        // 在模板内容中查找带有 data-resource-url 属性的元素
        var templateDiv = template.querySelector('[data-resource-url]')
        if (templateDiv != null) {
          var id = templateDiv.getAttribute('id')
          // 如果找到，则调用 setActionButtonVisibility 来更新按钮可见性
          this.setActionButtonVisibility(id)
        }
    }
  }

  setActionButtonVisibility(id) {
    // 根据 ID 获取已渲染到 DOM 中的资源 div
    var div = document.querySelector(`div#${id}`)
    if (!div) {
      console.warn(`Resource div with ID ${id} not found after stream render.`);
      return;
    }
    // 获取资源的 JSON URL
    var url = div.getAttribute('data-resource-url')
    // 获取编辑和删除按钮
    var editButton = div.querySelector('[data-resource-action="edit"]')
    var destroyButton = div.querySelector('[data-resource-action="destroy"]')

    // 使用 Rails.ajax 发送 GET 请求获取权限
    Rails.ajax({
      type: "GET",
      url: url,
      success: (data, _status, _xhr) => {
        try {
          // 根据返回的权限数据切换按钮的 d-none 类
          if (editButton) {
            editButton.classList.toggle('d-none', !data.permissions.edit)
          }
          if (destroyButton) {
            destroyButton.classList.toggle('d-none', !data.permissions.destroy)
          }
        } catch(error) {
          console.error("Error updating button visibility:", error)
        }
      },
      error: (xhr, status, error) => {
        console.error(`Failed to fetch permissions for resource ${id}:`, status, error);
      }
    })
  }
}

登录后复制

控制器详解：

connect(): 在Stimulus控制器连接到DOM时，添加一个事件监听器，监听turbo:before-stream-render事件。这个事件在Turbo Stream内容即将被渲染到DOM之前触发。
beforeStreamRender(event):
- event.detail.render是Turbo Stream默认的渲染函数。
- 我们通过重新赋值event.detail.render来“包装”默认行为，确保在默认渲染完成后，我们的processStream方法能够被调用。
processStream(streamElement):
- 此方法检查Stream操作类型（prepend, append, update），因为这些操作通常涉及新内容的添加或现有内容的更新。
- 它从streamElement中提取模板内容，并查找带有data-resource-url属性的元素，以识别新添加或更新的资源。
- 一旦找到资源，它会调用setActionButtonVisibility。
setActionButtonVisibility(id):
- 根据资源的ID在DOM中找到对应的元素。
- 获取data-resource-url属性值，并使用Rails.ajax向其发送GET请求。
- 在请求成功回调中，根据返回的data.permissions.edit和data.permissions.destroy值，动态地添加或移除按钮的d-none类，从而控制按钮的可见性。

5. 集成Stimulus控制器到视图

最后一步是将这个Stimulus控制器应用到包含资源列表的视图中。只需将列表包裹在一个带有data-controller="turbostream"属性的div中。

<!-- app/views/resource/index.html.erb -->

<div data-controller="turbostream">
  <%= turbo_frame_tag "resources" do %>
    <% @resources.each do |resource| %>
      <%= render resource %>
    <% end %>
  <% end %>
</div>

登录后复制

通过以上步骤，我们成功地为Turbo Streams实现了客户端权限控制。每当有新的资源通过Turbo Stream被添加或更新时，Stimulus控制器都会介入，异步获取权限信息，并相应地调整UI元素的可见性。

注意事项与总结

额外请求: 这种方法的核心是为每个动态更新的资源发送一个额外的AJAX请求来获取权限。对于高频更新或大量资源的场景，这可能会增加服务器负载和网络流量。需要根据实际应用场景权衡性能影响。
用户体验: 按钮在初始渲染时可能会短暂隐藏（因为有d-none类），然后根据权限检查结果再显示。这个过程通常非常快，对用户体验影响较小，但如果网络延迟较高，可能会有轻微的闪烁感。
安全性: 权限检查始终应该在服务器端进行最终验证。客户端的权限控制仅用于UI展示，防止未授权的用户看到操作按钮，但并不能阻止他们通过其他方式尝试执行未授权的操作。所有关键操作在服务器端仍需严格的Pundit或其他授权检查。
扩展性: 这种模式可以很容易地扩展到其他需要客户端动态调整的场景，例如根据用户角色显示不同的信息、根据资源状态启用/禁用特定功能等。

通过这种结合了Rails辅助方法、视图数据属性、JSON API和Stimulus控制器的策略，我们能够有效地在Turbo Streams驱动的实时应用中实现灵活且安全的客户端UI权限管理。

以上就是在Turbo Streams中实现基于用户权限的动态UI更新的详细内容，更多请关注php中文网其它相关文章！