Канкан способность не находит пользователя

Я использую Cancan, чтобы гарантировать, что только пользователи с разрешениями могут удалять объекты в моем приложении Rails. У меня есть мобильное приложение, которое отправляет запросы на удаление с auth_token пользователя. Вот как выглядит запрос:

Started DELETE "/projects/888?auth_token=ArpuyxbDyjtyn67r3JgF"
Processing by ProjectsController#destroy as */*
Parameters: {"auth_token"=>"ArpuyxbDyjtyn67r3JgF", "id"=>"888", "project"=>{}}

Но я понимаю, что пользователь не авторизован.

Вот что я вставил в свой контроллер:

class ProjectsController < ApplicationController
 def destroy
    @project = Project.find(params[:id])
    if params[:auth_token]
      current_user = User.where(:authentication_token => params[:auth_token]).first
    end

    authorize! :destroy, @project
    @project.destroy
    respond_to do |format|
      format.html{ redirect_to user_path(current_user.username) }
      format.json { head :no_content}
    end    
  end
end

И это мой файл Способность.rb:

class Ability
  include CanCan::Ability

  def initialize(user)

    user ||= User.new

    can :destroy, Project do |project|
        project.user == user || (user && user.admin?)
    end
end

Проверяя мою базу данных, корректный auth_token передается пользователю.

Как заставить пользователя cancan сопоставить пользователя с переданным параметром auth_token, чтобы он мог удовлетворять разрешениям на доступ?