Rails 4.1.5 omniauth 强参数

Question

将 Rails 4.1.4 升级到 4.1.5 后，我的 facebook omniauth 会话出现错误，此后一切正常。 当我创建一个用户会话时，我得到一个ActiveModel::ForbiddenAttributesError

路线：

  match 'auth/:provider/callback', to: 'sessions#create', as: 'signin', via: :get

会话#创建控制器：

  def create
        user = User.from_omniauth(env["omniauth.auth"])
        session[:user_id] = user.id 
        session[:user_name] = user.name

      redirect_to root_path
  end

还有这样的用户模型：

  def self.from_omniauth(auth)
    where(auth.slice(:provider, :uid)).first_or_create.tap do |user|
      user.provider ||= auth.provider 
      user.uid = auth.uid
      user.name = auth.info.name
      user.save
    end
  end

我可以通过添加许可来绕过 ActiveModel 错误！我的用户模型中的方法是这样的：

where(auth.slice(:provider, :uid).permit!).first_or_create.tap do |user|

但它会覆盖数据库中的第一个用户... session[:user_id] 似乎总是数据库中的第一个用户。

我不知道这是一个强参数问题、Omniauth 问题还是两者兼而有之？

Answer 1

替换您当前的查找器：

def self.from_omniauth(auth)
  where(provider: auth.provider, uid: auth.uid).first_or_create do |user|
    user.provider = auth.provider 
    user.uid      = auth.uid
    user.name     = auth.info.name
    user.save
  end
end

Answer 2

我详细记录了这里发生的事情：

Rails 4.1.5 Security Fix Breaks Model.where(attributes)

片段：

哎呀！ Rails 4.1.5 要求您对 is_a 的任何参数使用安全参数。哈希 例如，如果您在执行 Model.where 时使用 slice 从派生自 Hash 的某个对象中取出一些键，那么当您从 Rails 4.1.4 迁移到 Rails 4.1.5 时，您的代码将抛出此错误：

在 omniauth_callbacks#facebook 中发生 ActiveModel::ForbiddenAttributesError： ActiveModel::ForbiddenAttributesError

Answer 3

我的解决方案是这样的。

# extend the object and add method
auth_hash_extended = auth.slice(:provider, :uid)
def auth_hash_extended.permitted?()
  true
end

where( auth_hash_extended ).first_or_create do |user|
    user.provider = auth.provider
    #blablabla
end

如果你很难将哈希分离成键值集，你可以使用这种方式。