Question

Я пишу приложение ruby on rails, используя mongoid, и меня интересует вопрос безопасности хранения пользователей и пользователей-администраторов в одном документе.Моя текущая реализация использует devise и как-то смоделировано на том, как это делает activeadmin.Пользователи с правами администратора находятся в отдельном документе, поэтому нет никаких шансов, что кто-то повысит их привилегии.Это общедоступный сайт, и в нем задействована некоторая финансовая информация.

Но мне любопытно, может быть, я просто делаю больше работы для себя, и это отчасти ненужно.

James Brooks · Answer 1 · 29 февраля 2012

Не должно быть никаких последствий, если вы не позволите пользователям обновить механизм для получения привилегий. Если у вас есть логический флаг с именем is_admin, например, то, что у вас есть attr_protected :is_admin, жизненно важно для защиты от массового обновления от изменения этой привилегии.

Хранение пользователей и администраторов вместе в mongodb

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Хранение пользователей и администраторов вместе в mongodb

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы