Хорошая практика для защиты методов - PullRequest
Новая
       0

Хорошая практика для защиты методов

3 голосов
/ 02 марта 2011

Будучи новичком в разработке ROR, я думал о способах защиты определенных методов, чтобы убедиться, что правильный пользователь обновляет свой собственный контент.Вот пример моего подхода.

Вы бы порекомендовали более чистый или лучший способ выполнения таких задач? 

# Example Controller 
class Owner::PropertiesController < Owner::BaseController

  def index
  end

  etc.....

  def update
    @property = Property.find(params[:id])

    # Check correct owner 
    check_owner(:owner_id => @property.owner_id)

    if @property.update_attributes(params[:property])
      redirect_to([:owner, @property], :notice => 'Property was successfully updated.')
    else
      render :action => "edit"
    end

  end

  def destroy
    @property = Property.find(params[:id])

    # Check correct owner 
    check_owner(:owner_id => @property.owner_id)

    @property.destroy
    redirect_to(owner_properties_url)
  end

  private

  def check_owner p = {}
    if p[:owner_id] != session[:owner_id]
      redirect_to([:owner, @property], :notice => "Property not found.")
    end
  end

Ответы [ 3 ]

4 голосов
/ 02 марта 2011

Это один из способов сделать это, хотя и немного неуклюжий ИМО.Я склонен придерживаться следующего подхода в таких ситуациях: 

class FoosController < ApplicationController
  before_filter :find_user

  def create
    @foo = @user.foos.build
  end

  def update
    @foo = @user.foos.find(params[:id])
  end

  private

  def find_user
    @user = User.find(session[:current_user_id])
  end
end

Это намного чище, и цель очевидна: вам интересно только попытаться найти Foo, который принадлежит @user,Одним из недостатков этого подхода является то, что если правила владения меняются, то для их изменения необходимо проделать определенную работу, но я обнаружил, что это служит мне достаточно хорошо.

0 голосов
/ 02 марта 2011

Вы также можете использовать гем типа Declarative_authorization , чтобы сделать это.Если вы хотите сделать это самостоятельно, я бы порекомендовал просто немного высушить ваш код: 

class Owner::PropertiesController < Owner::BaseController
  before_filter :check_owner, :only => [:update, :destroy]

  def update
    if @property.update_attributes(params[:property])
      redirect_to([:owner, @property], :notice => 'Property was successfully updated.')
    else
      render :action => "edit"
    end
  end

  def destroy
    @property.destroy
    redirect_to(owner_properties_url)
  end

  private

  def check_owner
    @property = Property.find(params[:id]

    if @property.owner_id != session[:owner_id]
      redirect_to([:owner, @property], :notice => "Property not found.") and return
    end
  end
end

Кроме того, вы можете отфильтровать ваши свойства по владельцу, чтобы гарантировать, что пользователь, не являющийся владельцем, не сможетвзаимодействовать со свойствами, которые не являются его / ее.Например: 

def update
  @owner = Owner.find(session[:owner_id])
  @property = @owner.properties.find(params[:id])
  redirect_to unauthorized_page and return if @property.nil?
end

Это заставляет искомые свойства принадлежать сеансу [: owner_id] вместо всего множества свойств.Это означает, что свойства, которыми сеанс [: owner_id] не принадлежит, даже не будут рассматриваться.Затем вы можете поместить этот код в before_filter, чтобы его можно было многократно использовать в нескольких действиях.

0 голосов
/ 02 марта 2011

Рассмотрите возможность использования обсуждаемой техники здесь .

Добавьте связь в вашей модели пользователя и в свойствах запроса только через эту связь. 

property = Property.find(params[:id])
# vs
property = current_user.properties.find(params[:id])
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...