В учебном пособии уже определен correct_user before_filter, который проверяет, равен ли текущий зарегистрированный пользователь пользователю, найденному из params[:id].
Вы уже используете его, чтобы убедиться, что пользователь может толькоредактировать / обновлять его или ее информацию.
before_filter :correct_user, :only => [:edit, :update]
Все, что вам нужно сделать, это добавить этот фильтр к действию show.
before_filter :correct_user, :only => [:show, :edit, :update]
edit: я забыл добавить, что @user = User.find(params[:id]) больше не нужен в действии show, так как он будет установлен фильтром before.