RoR 帮助保护我在视图中的 CRUD 链接

Question

我有四个模型：

class Country < ActiveRecord::Base
  has_many :postcards
end

class Postcard < ActiveRecord::Base
  belongs_to :Country
  has_many :photos
  has_many :tips
end

class Photos < ActiveRecord::Base
  belongs_to :postcard
end

class Tips < ActiveRecord::Base
  belongs_to :postcard
end

路由嵌套如下：

Rails.application.routes.draw do  
  resources :countrys do
    resources :postcards do 
      resources :photos, :tips
    end
  end
end

我遵循 CRUD 架构，一切正常，所有控制器都正常工作。我使用 private / country_params 创建和更新控制器方法。但是……

现在我意识到，如果我部署应用程序，任何人都可以单击视图中的链接来创建/编辑/销毁数据库。

限制访问的“良好做法”解决方案是什么？

1. 仅为我构建用户模型并获得管理员权限？
2. 在没有 crud 访问的情况下创建一组新视图？（这甚至可能吗？）
3. 使用管理 gem（RailsAdmin 或 ActiveAdmin）？

Answer 1

要将应用程序上的内容限制为只能由您访问，您必须实施一些简单的身份验证（谁可以看到什么）和授权（他们可以看到什么）。

按照本教程中的步骤使用用户模型实现简单的身份验证。创建此用户模型时，您需要添加一个role 字段。

https://gist.github.com/thebucknerlife/10090014

应验证此角色字段，使其只能是您的某些角色类型数组中的角色。在 User 模型中包含此角色数组，并验证 User 的角色是否在此数组中。

ROLES = [['Admin', :admin], ['Guest',:guest]]  
validates :role, inclusion: { in: %w[admin guest] }  

一旦您完成了此身份验证（使用登录/注册视图），您就可以着手实施授权了。为此，请使用 cancancan gem。

https://github.com/CanCanCommunity/cancancan

您只想授予“管理员”用户访问权限，因此您可以使用此 gem 定义每个用户角色类型的“能力”。例如：

class Ability
  include CanCan::Ability

  def initialize(user)
    user ||= User.new # guest user (not logged in)
    if user.admin?
      can :manage, :all  # can do any action on all objects
    else
      can :read, :all  # can only read things but can't edit them
    end
  end
end

这将授予管理员用户在应用程序中执行任何操作的权限，但访客用户只能阅读信息。有关定义能力的更多方法，请参阅 cancancan 文档。

现在，由于您已为不同角色设置了能力，因此您可以在控制器中限制对某些功能的访问。您还可以限制用户看到的内容。

<% if can? :update, @item %>
  <%= link_to "Edit", edit_article_path(@article) %>

<% end %>  

仅当允许用户根据您定义的能力编辑项目时，此代码才会显示“编辑”按钮。