2012-11-12 204 views
3

所以我正在構建一個博客應用程序,現在我需要構建Admin後端。由於即時通訊將是唯一的用戶,它是一個壞主意,只是在我的控制器的代碼片段說:管理員權限在代碼中?

if params[:username] == myusername && params[:password] == mypassword 

對於管理日誌中?

有人可能進入我的controller.rb文件並獲取該信息?

該網站上沒有其他用戶或管理員,因此在我的數據庫中放置一個表格似乎是多餘的。

回答

4

我不建議將憑據放入控制器。這只是錯誤的地方。你至少應該把它們放到配置文件中。如果您只想讓隨機訪問者遠離管理區域,則應考慮使用Basic-Authentication

如果您想了解更多關於它是多麼簡單集成的身份驗證Rails的方式,看看這個RailsCast

+2

剛鍵入相同的答案,但你當然是第一:) +1。此外,不要忘記把文件與憑據放入'.gitignore' –

+0

@Mikhail D - ups ;-)所以我upvoted你的評論;-) – awenkhh