我有一个带有魔法的 Rails 应用程序,
一切正常。
问题是当编辑像这样的用户时:
http://localhost:3000/users/1/edit
它工作正常,但是当我将用户 ID 更改为 2 或 3 ..
我可以更新所有用户数据
我如何限制仅当当前用户是登录用户时才编辑页面
这是我的控制器:
skip_before_action :require_login, only: [:new, :create, :show]
def new
@user = User.new
end
def create
@user = User.new(user_params)
if @user.save
auto_login(@user)
flash[:info] = "Welcome."
redirect_to root_url
else
render 'new'
end
end
def edit
@user = User.find(params[:id])
end
def update
@user = User.find(params[:id])
if @user.update_attributes(user_params)
flash[:success] = "Profile updated"
redirect_to @user
else
render 'edit'
end
end
def show
@user = User.find(params[:id])
end
private
def user_params
params.require(:user).permit(:email, :password, :password_confirmation)
end