本文详细介绍了如何在Rails应用中，结合Turbo Streams和StimulusJS，解决实时更新列表项时，根据用户权限动态显示或隐藏操作按钮的问题。通过拦截`turbo:before-stream-render`事件，利用Stimulus控制器发起客户端AJAX请求获取权限数据，并据此调整按钮可见性，从而避免了在Turbo Streams渲染上下文中进行服务器端权限检查的限制。

背景与挑战

在使用Turbo Streams实现Rails应用中的实时列表更新时，我们经常会遇到一个挑战：列表中的每个项目都可能包含“编辑”或“删除”等操作按钮，而这些按钮的可见性通常需要根据当前用户的权限来决定。传统的服务器端权限管理（如Pundit）在HTTP请求-响应周期内工作良好。然而，当通过Turbo Streams（特别是经由ActionCable）推送更新时，Rails渲染器可能无法访问到完整的请求上下文（例如Warden::Proxy实例），导致权限检查失败或抛出错误。这意味着我们无法在服务器端直接根据用户权限来决定是否在Turbo Stream片段中包含这些按钮。

为了解决这一问题，我们需要一种机制，在Turbo Stream内容到达客户端并被渲染之后，再进行权限检查并动态调整按钮的可见性。

解决方案概述

本教程将介绍一种结合StimulusJS和AJAX请求的客户端解决方案：

1. 服务器端辅助判断： 识别请求是否为Turbo Stream，并在这种情况下，默认隐藏权限敏感的按钮。
2. 视图层标记： 为每个资源项添加一个URL属性，并为权限敏感的按钮添加特定标记。
3. JSON权限接口： 暴露一个JSON端点，用于客户端查询指定资源的权限信息。
4. Stimulus控制器拦截： 创建一个Stimulus控制器，拦截turbo:before-stream-render事件，在Turbo Stream内容渲染到DOM之后，执行自定义逻辑。
5. 客户端权限检查： 自定义逻辑会根据视图层标记获取资源URL，发起AJAX请求到JSON权限接口，然后根据返回的权限数据动态显示或隐藏按钮。

详细实现步骤

1. 服务器端辅助方法

首先，在ApplicationController中添加一个辅助方法，用于判断当前的请求是否是一个Turbo Stream请求。这有助于我们在视图中进行条件渲染。

# app/controllers/application_controller.rb

class ApplicationController < ActionController::Base
  # ... 其他代码 ...

  def turbo_stream?
    formats.any?(:turbo_stream)
  end
  helper_method :turbo_stream?
end

2. 视图模板修改

修改资源的局部视图（例如app/views/resource/_resource.html.erb），以支持客户端权限检查。

• 默认隐藏按钮： 当turbo_stream?为真时，默认给权限敏感的按钮添加d-none类（Bootstrap的隐藏类）。
• 资源URL标记： 为资源项的容器（通常是div或turbo_frame_tag内部的元素）添加data-resource-url属性，其值为资源的JSON格式URL。
• 按钮动作标记： 为每个权限敏感的按钮添加data-resource-action属性，例如data-resource-action: :edit或data-resource-action: :destroy。

<!-- app/views/resource/_resource.html.erb -->

<%= turbo_frame_tag resource do %>
  <div id="<%= dom_id resource %>"
       data-resource-url="<%= resource_path(resource, format: :json) %>">

    <!-- 资源的其他内容 -->

    <% if turbo_stream? || policy(resource).edit? %>
      <%= link_to edit_resource_path(resource),
                  class: "btn btn-primary #{'d-none' if turbo_stream?}",
                  data: { resource_action: :edit } do %>
        <i class="las la-edit"></i>
        <span class="d-none d-lg-inline">
          <%= t("buttons.edit") %>
        </span>
      <% end %>
    <% end %>

    <% if turbo_stream? || policy(resource).destroy? %>
      <%= link_to resource,
                  class: "btn btn-danger #{'d-none' if turbo_stream?}",
                  data: {
                    resource_action: :destroy,
                    turbo_confirm: t("confirm.short"),
                    turbo_method: :delete
                  } do %>
        <i class="las la-trash-alt"></i>
        <span class="d-none d-lg-inline">
          <%= t("buttons.remove") %>
        </span>
      <% end %>
    <% end %>

  </div>
<% end %>

注意： 这里的policy(resource).edit?和policy(resource).destroy?是Pundit的用法，如果不是Turbo Stream请求，仍然会在服务器端进行权限检查。当turbo_stream?为真时，我们跳过Pundit检查并默认隐藏按钮，等待客户端处理。

Tanka

具备AI长期记忆的下一代团队协作沟通工具

146 查看详情

3. JSON模板暴露权限

为了让客户端能够查询权限，我们需要修改资源的JSON模板（例如app/views/resources/_resource.json.jbuilder），使其包含当前用户对该资源的权限信息。

# app/views/resources/_resource.json.jbuilder

json.extract! resource, :id, :name, :description # 提取其他字段
json.permissions do
  json.edit policy(resource).edit?
  json.destroy policy(resource).destroy?
end

注意： 这里在JSON模板中进行Pundit权限检查是安全的，因为这是标准的HTTP GET请求，具有完整的请求上下文。

4. Stimulus控制器实现

创建一个Stimulus控制器来监听turbo:before-stream-render事件，并在Turbo Stream内容渲染后执行我们的自定义逻辑。

// app/j*ascript/controllers/turbostream_controller.js

import Rails from "@rails/ujs"
import { Controller } from "@hotwired/stimulus"

export default class extends Controller {
  connect() {
    // 监听 turbo:before-stream-render 事件
    // 这个事件在Turbo Stream渲染DOM之前触发
    addEventListener("turbo:before-stream-render",
                     (e) => { this.beforeStreamRender(e) })
  }

  beforeStreamRender(event) {
    // 保存Turbo的默认渲染函数
    const defaultAction = event.detail.render
    // 覆盖Turbo的渲染函数，在默认渲染完成后执行我们的processStream方法
    event.detail.render = (streamElement) => {
      defaultAction(streamElement) // 先执行Turbo的默认渲染
      try {
        this.processStream(streamElement) // 再执行我们的自定义处理
      } catch(error) {
        console.error("Error processing Turbo Stream:", error)
      }
    }
  }

  processStream(streamElement) {
    // 检查streamElement的action是否是会添加或更新DOM的类型
    if (["prepend", "append", "update"].includes(streamElement.action)) {
        // streamElement.children[0].content 是一个 DocumentFragment，包含即将渲染的HTML
        var template = streamElement.children[0].content
        // 在DocumentFragment中查找带有 data-resource-url 的元素
        var templateDiv = template.querySelector('[data-resource-url]')
        if (templateDiv != null) {
          // 获取资源的ID，用于后续在DOM中查找已渲染的元素
          var id = templateDiv.getAttribute('id')
          if (id) {
            this.setActionButtonVisibility(id)
          }
        }
    }
  }

  setActionButtonVisibility(id) {
    // 在实际的DOM中查找刚刚渲染的资源元素
    var div = document.querySelector(`div#${id}`)
    if (!div) return; // 如果元素不存在，则退出

    var url = div.getAttribute('data-resource-url')
    var editButton = div.querySelector('[data-resource-action="edit"]')
    var destroyButton = div.querySelector('[data-resource-action="destroy"]')

    if (!url || (!editButton && !destroyButton)) {
      // 如果没有URL或没有权限按钮，则无需处理
      return;
    }

    // 发起AJAX请求获取权限
    Rails.ajax({
      type: "GET",
      url: url,
      dataType: "json", // 明确指定期望的响应类型为JSON
      success: (data, _status, _xhr) => {
        try {
          if (data && data.permissions) {
            // 根据返回的权限数据切换按钮的 'd-none' 类
            if (editButton) {
              editButton.classList.toggle('d-none', !data.permissions.edit)
            }
            if (destroyButton) {
              destroyButton.classList.toggle('d-none', !data.permissions.destroy)
            }
          }
        } catch(error) {
          console.error("Error updating button visibility:", error)
        }
      },
      error: (xhr, status, error) => {
        console.error(`Failed to fetch permissions for ${url}:`, status, error);
      }
    })
  }
}

代码解释：

• connect(): 在Stimulus控制器连接时，注册turbo:before-stream-render事件监听器。
• beforeStreamRender(event): 这是核心逻辑。它拦截了Turbo的默认渲染行为。event.detail.render是Turbo用于实际将Stream内容插入DOM的函数。我们将其替换为一个新函数，该函数首先调用原始的defaultAction（完成DOM插入），然后调用我们自己的processStream方法。
• processStream(streamElement): 检查Stream的动作类型（prepend, append, update），然后从即将插入的HTML片段中查找带有data-resource-url的元素。找到后，提取其id并调用setActionButtonVisibility。
• setActionButtonVisibility(id): 这个方法负责在DOM中找到已渲染的资源元素，获取其data-resource-url，然后发起一个AJAX GET请求到该URL。成功响应后，解析JSON数据中的permissions，并根据edit和destroy权限的值，动态地添加或移除按钮的d-none类。

5. 挂载Stimulus控制器

最后，在包含资源列表的视图文件中，用一个带有data-controller="turbostream"属性的div包裹住列表，以激活我们的Stimulus控制器。

<!-- app/views/resource/index.html.erb -->

<div data-controller="turbostream">
  <!-- 你的资源列表代码，例如： -->
  <%= turbo_stream_from "resources" %>
  <div id="resources">
    <% @resources.each do |resource| %>
      <%= render resource %>
    <% end %>
  </div>
</div>

注意事项与性能考量

• 额外请求： 这种方法的核心是为每个通过Turbo Stream更新或添加的资源发起一个额外的AJAX请求来获取权限。对于高频率更新且资源数量巨大的列表，这可能会增加服务器负载和网络流量。
• 短暂延迟： 由于权限检查是异步进行的，用户可能会在极短的时间内看到没有按钮的资源项，然后按钮才会根据权限出现。通过在CSS中设置过渡效果，可以使这种变化更加平滑。
• 安全性： 客户端的权限检查仅用于UI显示。核心业务逻辑的权限验证（例如，用户尝试访问受限操作时）仍必须在服务器端进行。JSON权限接口本身也应受到适当的认证和授权保护。
• 错误处理： 在Stimulus控制器中，增加了对AJAX请求失败和数据解析错误的捕获，以提高健壮性。

总结

通过上述步骤，我们成功地解决了在Turbo Streams实时更新场景下，客户端动态显示或隐藏基于用户权限的操作按钮的问题。这种方法利用了StimulusJS的强大功能来拦截Turbo Stream事件，并结合AJAX请求实现了灵活的客户端权限管理。虽然引入了额外的网络请求，但它为无法在服务器端直接处理权限的场景提供了一个有效且可维护的解决方案。

以上就是在Turbo Streams中实现基于用户权限的客户端动态按钮显示的详细内容，更多请关注其它相关文章！

# 会在  # 推广营销计划要怎么写  # 全城营销推广活动方案  # 直播营销前期推广策略  # 嘉兴网站网站建设  # 医院网站建设优化案例  # 推广营销软件开发  # 永康网站建设优选案例  # seo的实习结果  # 北京关键词排名都选乐云seo  # 仙桃网站排名优化费用  # 复选框  # 如何实现  # 创建一个  # 见性  # 弹出  # css  # 这是  # 是一个  # 自定义  # 客户端  # p  # ai  # ssl  # app  # ajax  # json  # bootstrap  # js  # html  # java  # javascript 

相关栏目： 【 科技资讯46185 】 【 网络学院92790 】

相关推荐： 零跑汽车11月交付量达70327台 实现连续9个月正增长  高德地图总提示网络异常怎么办 高德地图离线导航设置与网络排查方法  UC浏览器如何安装插件 UC浏览器添加扩展程序详细教程【进阶】  整合Supabase认证与Django模型：跨模式迁移的解决方案  NRF24L01数据传输深度解析：解决大载荷接收异常与分包策略  AO3网页版最新入口合集 Archive of Our Own在线访问指南  Go与Ruby之间实现AES加密互通：CFB模式下的密钥长度匹配策略  UE5.7引擎表现爆炸优化无敌！5090跑4K稳定60FPS  J*aScript中高效管理与清空动态列表：避免循环陷阱  痛风发作了怎么办？ 快速止痛和后期饮食调理  深入理解J*aScript Promise异步执行与微任务队列  在python-socketio事件处理器中安全访问Flask应用上下文  KFC早餐时段怎么领特惠代码_KFC早餐订餐优惠代码获取与使用说明  “在文档元素之后找到了标记”是什么错误？ 检查并修复XML中多个根元素的3个方法  Win11截图该按哪些键 Win11截屏完整流程解析【教程】  邮政快递包裹最新位置 邮政快递实时追踪入口  Highcharts 雷达图径向轴标签定制指南：利用多Y轴实现数值标注  微博网页版首页入口 微博电脑端官网登录链接  格力空气能E5故障代码是什么情况_格力空气能E5代码解析与应对措施  AO3同人作品网入口 AO3搜索引擎官网永久地址  2025AO3夸克浏览器通道_AO3手机HTTPS安全入口分享  mc.js游戏直达 mc.js网页免下载版本秒进地址  C#使用XPath查询节点时出错？ 常见语法错误与调试技巧  DLsite中文平台入口 DLsite官网内容在线查看  魅族20怎样在浏览器开无图省流_iPhone魅族20浏览器开无图省流【流量节省】  印象笔记如何设离线包出差查阅_印象笔记设离线包出差查阅【离线阅读】  极速漫画官方主页网址 极速漫画漫画在线浏览官网链接  Golang如何使用new_Go new分配内存机制讲解  抖音极速版最新版本 抖音极速版官方下载地址  b站怎么取消点赞_b站点赞取消操作方法  J*aScript实现动态背景色下的文本与按钮颜色自适应调整  蛙漫2台版漫画地址 Manwa2正版网页版链接  Excel文件在线转换快速入口 Excel在线格式转换网站  Python getattr() 异常处理深度解析：避免程序意外退出  css滚动区域卡顿如何改善_css滚动问题用will-change优化渲染  谷歌浏览器无痕模式怎么开 Chrome开启无痕浏览设置方法【教程】  如何在离线环境中使用Composer_Composer离线安装依赖包的技巧与策略  Mac怎么锁定备忘录_Mac备忘录加密设置教程  虚幻5科幻题材ARPG大作遭取消！本是《奇异人生》厂商新作  如何使用 Excel 发布器与 Power BI 分享 Excel 洞察  解决深度学习模型训练初期异常高损失与完美验证准确率问题  支付宝解绑银行卡步骤_支付宝如何解除绑定银行卡  我的世界mc.js免费游戏直接能玩 我的世界mc.js小游戏免费秒玩入口  KFC游戏互动怎么赢取优惠券_KFC线上游戏活动参与与优惠代码赢取教程  j*a toString()的覆盖  铁路12306改签能改到更早的车次吗_铁路12306改签提前车次规则  Python Socket多播通信中指定源IP地址的实践指南  steam官方网页快速访问 steam账号注册全流程  Lar*el如何正确地在控制器和模型之间分配逻辑_Lar*el代码职责分离与架构建议  Go Martini框架：动态服务解码后的图片内容