0
我目前正在保護我的應用程序,以便普通用戶無法使用CanCanCan創建,編輯,更新或銷燬某些對象。我也安裝了Devise。這兩個寶石都提供回調,以便用戶不能執行某些操作,除非滿足某個標準。如果CanCan回調存在,我是否需要Devise回調?
class ExampleController < ApplicationController
before_action :authenticate_user!, except: [:index, :show] # Devise
load_and_authorize_resource except: [:index, :show] # CanCanCan
end
在這種特殊情況下,用戶只能擁有完全訪問權限,如果他們是管理員。我在想,如果在控制器中存在兩個回調會是多餘的。
我看到它的方式是,如果用戶不是管理員,並且正在嘗試創建一個對象,那麼將不需要對它們進行身份驗證。我希望100%確信自己的想法,並確保用戶可以執行任何偷偷摸摸的解決方法來訪問這些頁面。