rails_admin でユーザーに対して複数の「ロール」を使用するには、CanCan が最適な選択肢のようです。そこで、ブール属性「admin」を User-Model に追加し、これが存在する場合にのみ rails_admin へのアクセスを許可するように CanCan に指示しました。
しかし、これはセキュリティ上の問題ではありませんか? 誰も属性を変更できないことをどのように確認できますか?
2 に答える
0
アクセス可能なメソッドに属性を配置しないでくださいadmin。誰もその値を変更できません。
于 2012-11-02T08:10:29.893 に答える
0
Railsに関する私の知識は限られていると言って、これを序文にします。ただし、ブール属性をオブジェクトに追加することは、最終的なものではありません (または、変更できないことに相当するものは何でも)。さらに、防御的なコーディングをアプリケーションに追加する必要があります (たとえば、契約による設計)。可変プロパティを持つ継承リスクは常に問題です。これを軽減する潜在的な方法は、データベースを使用するか、信頼できるソースによって管理されている証明書を使用することです (そうすれば、ユーザーは証明書を簡単に偽造してシステムをだますことができなくなります)。
于 2012-11-01T15:34:41.783 に答える