我有一個應用程序,我正在寫軌道3 W /康康和設計。我很好奇,從安全的角度來看,授權控制器上的後置操作是必要的還是有用的?假設我所有的控制器動作都需要認證w/devise(即用戶必須登錄)。 我可以看到爲什麼我需要通過cancan對我的控制器使用GET的操作進行授權,因爲用戶可以簡單地輸入他們希望自由訪問的url並且必須鎖定。但是,對於帖子,用戶必須從表單發佈數據,該表單通過令牌防止xss攻擊。
在我的模型中,我有相當數量的模型Item的子類。我希望能夠指定對於給定的角色,它們對Item的權限適用於Item的所有子類,而不顯式列出它們;如果我添加新的Item子類,我不想記得更新權限。我怎樣才能做到這一點? 例如,這個許可 if user.role? :customer_service
can :read, Item
end
不允許客戶服務代表讀內閣,其中內閣<項目的詳細信息
我有兩個型號: Thread (id, title)
ThreadParticipation (id, thread_id, user_id)
我想定義是這樣的: can :create, ThreadParticipation if the user is a ThreadParticipation
例如: for
thread: (1, 'hello world')