限制用户访问魔法
Restricting user access on sorcery
我有一个带有魔法的 rails 应用程序
一切正常。
问题是编辑用户时,如:
http://localhost:3000/users/1/edit
它工作正常,但是当我将用户 ID 更改为 2 或 3 ..
我可以更新所有用户数据
仅当当前用户是登录用户时,我如何才能限制编辑页面
这是我的控制器:
skip_before_action :require_login, only: [:new, :create, :show]
def new
@user = User.new
end
def create
@user = User.new(user_params)
if @user.save
auto_login(@user)
flash[:info] = "Welcome."
redirect_to root_url
else
render 'new'
end
end
def edit
@user = User.find(params[:id])
end
def update
@user = User.find(params[:id])
if @user.update_attributes(user_params)
flash[:success] = "Profile updated"
redirect_to @user
else
render 'edit'
end
end
def show
@user = User.find(params[:id])
end
private
def user_params
params.require(:user).permit(:email, :password, :password_confirmation)
end
你也可以这样做
before_action :edit_rights?, only: [:update, :edit]
private
def edit_rights?
@user = User.find(params[:id])
redirect_to(root_path) unless current_user == @user
end
那么 update
和 edit
操作都不需要 @user = User.find(params[:id])
有(至少)两种方法可以做到这一点。首先,直接在另一个答案中详细说明,微调您的控制器。
一个不太明显的方法是创建一个单一的资源和它自己的控制器。在可能看起来像的路线中:
resource :profile, only: [:show, :edit, :update]
# generates:
# /profile (GET, PATCH, PUT)
# /profile/edit (GET)
然后创建一个仅对用户自己的配置文件负责并仅在 current_user
上运行的控制器。
是的,一个模型可以有多个控制器,如果您的模型在应用程序的不同部分的行为确实不同的话。
你为什么要这么做?
- 用户自己的个人资料可以显示比公开可用的信息更多的信息,您可以将其放在单独的视图中
- 没有 "access denied" 错误,因为资源是通过
current_user
自动选择的,您只需确保用户在整个控制器中登录即可。
我有一个带有魔法的 rails 应用程序
一切正常。
问题是编辑用户时,如:
http://localhost:3000/users/1/edit
它工作正常,但是当我将用户 ID 更改为 2 或 3 ..
我可以更新所有用户数据
仅当当前用户是登录用户时,我如何才能限制编辑页面
这是我的控制器:
skip_before_action :require_login, only: [:new, :create, :show]
def new
@user = User.new
end
def create
@user = User.new(user_params)
if @user.save
auto_login(@user)
flash[:info] = "Welcome."
redirect_to root_url
else
render 'new'
end
end
def edit
@user = User.find(params[:id])
end
def update
@user = User.find(params[:id])
if @user.update_attributes(user_params)
flash[:success] = "Profile updated"
redirect_to @user
else
render 'edit'
end
end
def show
@user = User.find(params[:id])
end
private
def user_params
params.require(:user).permit(:email, :password, :password_confirmation)
end
你也可以这样做
before_action :edit_rights?, only: [:update, :edit]
private
def edit_rights?
@user = User.find(params[:id])
redirect_to(root_path) unless current_user == @user
end
那么 update
和 edit
操作都不需要 @user = User.find(params[:id])
有(至少)两种方法可以做到这一点。首先,直接在另一个答案中详细说明,微调您的控制器。
一个不太明显的方法是创建一个单一的资源和它自己的控制器。在可能看起来像的路线中:
resource :profile, only: [:show, :edit, :update]
# generates:
# /profile (GET, PATCH, PUT)
# /profile/edit (GET)
然后创建一个仅对用户自己的配置文件负责并仅在 current_user
上运行的控制器。
是的,一个模型可以有多个控制器,如果您的模型在应用程序的不同部分的行为确实不同的话。
你为什么要这么做?
- 用户自己的个人资料可以显示比公开可用的信息更多的信息,您可以将其放在单独的视图中
- 没有 "access denied" 错误,因为资源是通过
current_user
自动选择的,您只需确保用户在整个控制器中登录即可。