【发布时间】:2019-03-28 01:42:34
【问题描述】:
我已经得到它,以便客户页面上的显示视图链接到他们所下的所有订单。当他们单击“显示”时,它会将他们带到该订单的显示视图。但是,如果他们要更改 url 中订单的 id,他们就可以看到其他人的订单。请有人可以帮助或建议我可以使用它的方式,以便如果有人尝试查看他们被定向到的订单以外的订单,他们将被重定向到他们的客户页面?我可以让重定向位正常工作,使用:
redirect_to customers_path(session[:customer_id])
但是我如何让应用程序确保客户只能查看该订单?我似乎无法使用那种我检查订单 ID 是否等于 url 中的订单 ID 的逻辑,因为这将始终证明是正确的!
【问题讨论】:
标签: ruby-on-rails authorization