0
我有Users有很多People有很多Projects。如何確保用戶只能編輯自己的條目?
例如,一個新的項目,可以這樣創建:
def new
@project = Project.new(:person_id => params[:person_id])
@title = "New project"
end
我怎樣才能確保用戶只能插入person_id這裏真正屬於他嗎?
A
回答
1
從會話(服務器端)獲得user_id,但不是參數(客戶端),例如,
def new
@project = Project.new(:person_id => session[:current_user_id])
end
,或者使界面更加限制:
def new
@project = Project.create_for_current_user(session)
end
def Project.create_for_current_user(session)
return Project.new(:person_id => session[:current_user_id])
end
1
考慮使用隱式授權這一點。你的最終結果應該是這樣的:
# GET people/1/projects/new
def new
user = User.find(session[:current_user_id])
@project = user.people.find(params[:person_id]).projects.build(:title => "New Project")
end
# POST people/1/projects
def create
user = User.find(session[:current_user_id])
user.people.find(params[:person_id]).projects.create(params[...])
end
然後在routes.rb:
resources :people do
resources :projects
end
通過這種方法,新項目將自動歸於用戶。
在附註中,您應該考慮使用諸如Devise或before_filter之類的東西,以便您可以更方便地訪問當前用戶,而無需在每個操作中執行User.find。
此外,您的控制器操作中不應該有額外的@title變量。每個控制器操作應負責共享資源或資源集合。
相關問題
- 1. 確保認證的用戶只能更新自己的唱片
- 2. 如何限制用戶只編輯自己的記錄
- 3. 如何驗證用戶編輯只有有自己的傳記
- 4. 確保當前用戶將只能對自己數據的Django
- 5. 如何確保用戶只能使用Laravel刪除自己的記錄
- 6. 在wordpress中,我如何確保用戶只能看到他自己的帖子?
- 7. 用戶只編輯自己的帖子。使用Plone permisisons
- 8. 限制WordPress用戶只編輯他自己的頁面
- 9. MVC5:允許用戶只查看和編輯自己的信息
- 10. Codeigniter以用戶編輯只有自己的配置文件
- 11. django - 限制用戶只編輯他們自己的信息
- 12. 只允許用戶編輯自己的內容
- 13. 在Rails4中使用Devise,如何讓用戶只編輯自己的評論?
- 14. 如何讓用戶只能在XAF中只編輯他的項目
- 15. Sharepoint列表,用戶只能查看他們自己的項目
- 16. 如何只編輯/更新/刪除自己的問題?
- 17. 如何讓ActiveAdmin AdminUser只編輯自己的密碼
- 18. WP功能編輯自己的附件
- 19. 防止用戶編輯其他條目
- 20. RadDataGrid用戶只能編輯一列
- 21. 如何在listview中編輯自己的項目asp.net
- 22. 如何確保用戶只能看到並訪問他們自己的Yii數據
- 23. 如何確保用戶只能在Firebase中查看和訪問他們自己的數據?
- 24. 如何給多個用戶的博客編輯條目
- 25. CodeIgniter 2和Ion Auth - 編輯自己的用戶帳戶
- 26. 只允許用戶在Graphcool權限中編輯自己的內容
- 27. 如何只允許用戶在目錄編輯細節
- 28. 我如何用我自己的風格創建自己的wysiwyg編輯器?
- 29. 我如何配置用戶只能更改它自己的帳戶數據?
- 30. 如何確保用戶每個帖子只能投票一次
感謝您的幫助! – Tintin81