attr_accessible/security rails with rails - 處理這個問題的最佳方法是什麼？

Question

我有一個關於Rails安全性的問題。假設我們有User模型，並且它有許多角色的布爾值，例如admin,director等等。

管理員肯定會希望在表單上編輯這些值，因此我們希望使用attr_accessible讓管理員用戶執行此操作。

當然，其他用戶也可以編輯他們的用戶模型 - 編輯他們的個人資料，或者當他們邀請/添加新用戶到系統本身。在導演的情況下，我們實際上希望他們設置的角色比導演「小」，但我們不希望他能夠設置director或admin

由於我們公開了這些控制器修改用戶， 't attr_accessible允許在這種情況下設置director和admin？這聽起來像是一個非常大的安全漏洞。

那麼限制訪問的最佳方式是什麼？

1. 設置每個參數，一次一個？

2. 設置admin = false和director = false上的創建/更新操作？最簡單的解決方案，但在控制器中有這種令人討厭的地方。

3. 使用if語句來查看該用戶角色是否可以編輯這些屬性並允許它？

4. 使用導軌回調？，如before_validation或before_save？

5. 其他一些聲明性解決方案？

感謝

Answer 1

即將發佈的Rails 3.1（此時有一個候選版本）有一個新選項attr_accessible，它允許您定義一個角色，在控制器級別通過傳遞without_protection => true來覆蓋它。

你可以閱讀更多關於它在這裏：http://www.enlightsolutions.com/articles/whats-new-in-edge-scoped-mass-assignment-in-rails-3-1

而關於attr_accessible鐵軌安全指南在這裏的部分：http://edgeguides.rubyonrails.org/security.html#countermeasures

Answer 2

其中一個可能會有所幫助：

https://github.com/dmitry/attr_accessible_block

https://github.com/thefrontiergroup/scoped_attr_accessible

...讓您使用基於角色的條件，以確定哪些屬性可以組。