0
在'新'或'創建'? 在'編輯'或'更新'?在哪個控制器的操作中更好地檢查用戶權限?
我檢查這一行:
correct_user(@car.user) if not current_user.admin?
其中
def correct_user(user)
redirect_to root_path if current_user != user
end
A
回答
2
如果這些操作都需要管理員的權利,你最好過濾器之前使用。
before_filter :correct_user, :only => [:new, :create, :edit, :update]
1
在用戶無法訪問的每一個地方,如果他沒有權限。
我會結構中的代碼,這樣你就不必把它寫在行動:
before_filter :load_car, :redirect_unless_correct_user!, :except => :index
protected
def load_car
@car = Car.find(params[:car_id])
end
def redirect_unless_correct_user!
redirect_to(root_path) unless (current_user == @car.user) || user.admin?
end
相關問題
- 1. ASP.NET MVC基於控制器操作權限的用戶
- 2. 檢查用戶是否有權限訪問控制器動作(訪問前)
- 3. 檢查權限對組非用戶使用Auth-> authorize =「操作」
- 4. 使用操作篩選器限制每個用戶的訪問權限數
- 5. Laravel:檢查每個控制器的權限
- 6. 用戶權限控制
- 7. 在RESTful API中檢查用戶權限
- 8. 在Rails中檢查Facebook用戶權限
- 9. 如何限制用戶訪問控制器的特定操作?
- 10. 動態地爲asp.net MVC中的角色分配控制器操作權限
- 11. 控制Codeigniter中的用戶權限
- 12. 檢查控制器和視圖中的權限
- 13. SQL Server:在哪裏檢查sql級別的用戶/組權限?
- 14. 聲明式授權 - 如何設置控制器中所有操作的權限?
- 15. AWS控制檯查看哪個用戶執行了哪些操作
- 16. 限制用戶在GitLab中的權限?
- 17. 權限位操作查詢
- 18. 檢查用戶權限在Mac
- 19. ASP.NET MVC 2如何在執行操作之前檢查用戶的權限?
- 20. Laravrl5-整個模塊控制器的用戶權限
- 21. cakephp ACL檢查用戶是否有權在當前控制器中執行操作
- 22. 僅限網站的控制器操作
- 23. 如何在特定的mvc3控制器/操作中授權用戶角色?
- 24. 檢查哪些代碼使用權限
- 25. 某些用戶的控制權限
- 26. Pymongo檢查連接的用戶權限
- 27. 哪兩個文件操作更好?
- 28. WPF - 哪一個更好?風格或用戶控制?
- 29. 用戶控制器reset_password操作
- 30. IBM RTC中源控制操作失敗的權限被拒絕
的問題是:用戶使「創造」沒有「新」的行動?或者他可以在沒有「編輯」的情況下進行「更新」操作? – bravedick 2012-07-21 13:59:17
是的,他可以僞造一個帖子請求。 – gmalette 2012-07-21 13:59:56