Rails：使用這種風格的before_filter是否安全

Question

我有一個簡單的應用程序，但我關心用戶數據的confidencial。 使用這種類型的驗證安全嗎？

before_filter :authenticate, :only => [:show, :edit, :update] 
before_filter :correct_user, :only => [:show, :edit, :update] 

def authenticate 
    redirect_to(root_path) unless !current_user.nil? 
end 
def correct_user 
    redirect_to(root_path) unless current_user == User.find(params[:id]) 
end 

Answer 1

我會說過濾器通常是安全的，但我不能擔保您的登錄管理以及如何識別用戶。如果有人設法打破current_user方法，那麼可能會出現一些問題，但是如果驗證代碼來自Devise，Authlogic或維護良好的Gem，那麼您不必擔心。

另外，您也可以考慮使用CanCan來管理您的權限。定義這種情況非常簡單，並且有一箇中央文件用於管理所有權限，以便您可以保持代碼的靈活性。