Сейчас я работаю над проектом, который использует Грант .Хотя он и не невероятно зрелый, он, кажется, довольно неплохо блокирует вещи в моделях, а не в контроллерах, в которых большинство других модулей безопасности для Rails требуют от вас логики.
Уровень контроллерабезопасность действительно только диктует , где пользователи могут перейти , а не что они могут увидеть .Если вы случайно разместили неправильный ресурс на странице, вы можете случайно потерять информацию, о которой не мечтали.
При этом для небольшого проекта я использую CanCan , и этоработает хорошо, если вы осторожны, чтобы не включать ресурсы в представления, которые не проверены.
В любом случае вам потребуется система аутентификации для входа и выхода пользователей.Их несколько: Devise, пожалуй, наиболее широко используемый.