0
我在使用mongoid的Rails應用程序中編寫ruby,並且想知道將用戶和管理用戶存儲在同一文檔中的安全含義。我目前的實現是使用設計和種類模仿activeadmin如何做到這一點。管理員用戶在單獨的文檔中,因此沒有任何人有可能升級他們的權限。這是一個面向公衆的網站,涉及一些財務信息。在mongodb中一起存儲用戶和管理員用戶
但我很好奇,如果也許我只是爲自己做更多的工作,這是不需要的。
A
回答
0
只要您阻止用戶能夠更新特權機制,就不應有任何暗示。例如,如果您有一個名爲is_admin的布爾標誌,確保您擁有attr_protected :is_admin對於防止大規模更新以防止更改此特權至關重要。