你的第一个猜测是正确的，使用cancancan ，你会很好。

编辑2015年7月24日

我已经使用cancancan很长一段时间了，它总是很好用。 我最近改变了工作，在这里他们（我们）使用Pundit进行授权。

太棒了。 它会提示您为每个资源定义策略，感觉比一个膨胀的Ability类更自然。

对于更大的项目，我肯定会推荐Pundit。

为了控制对操作的访问，我建议使用Action Access ，它归结为：

 class UsersController < ApplicationController let :admin, :all let :user, [:index, :show] # ... end 

这将自动锁定控制器，允许管理员访问每个操作，用户只显示或索引用户，其他任何人都将被拒绝并重定向到警报。

如果您需要更多控制权，可以使用not_authorized! 用于检查和拒绝访问的内部操作。

它完全独立于身份validation系统，无需User模型或预定义角色即可运行。 您只需要为当前请求设置许可级别：

 class ApplicationController < ActionController::Base def current_clearance_level session[:role] || :guest end end 

您可以在此处返回应用程序所需的任何内容，例如current_user.role 。

虽然它不是必需的，但它捆绑了一组方便的模型添加，允许执行以下操作：

 <% if current_user.can? :edit, :team %> <%= link_to 'Edit team', edit_team_path(@team) %> <% end %> 

这里:team引用TeamsController ，因此只有当前用户有权访问TeamsController的edit操作时TeamsController显示该链接。 它还支持名称空间 。

您可以默认锁定控制器，自定义重定向路径和警报消息等。

它非常简单易用，我希望你觉得它很有用。

我们现在使用的建议是petergate gem。 易于使用，外观非常干净，有很棒的导轨感。

适用于设计 。

以下是自述文件中的一些示例。

如果您正在使用设计，那么您很幸运，否则您将不得不在项目中添加以下方法：

 user_signed_in? current_user after_sign_in_path_for(current_user) authenticate_user! 

这在你的User.rb中。 添加更多角色就像将它们添加到arrays一样简单。

 petergate(roles: [:admin, :editor], multiple: false) 

实例方法

 user.role => :editor user.roles => [:editor, :user] user.roles=(v) #sets roles user.available_roles => [:admin, :editor] user.has_roles?(:admin, :editors) # returns true if user is any of roles passed in as params. 

控制器访问语法。

 access all: [:show, :index], user: {except: [:destroy]}, company_admin: :all