1

我有一个带有魔法的 Rails 应用程序,
一切正常。
问题是当编辑像这样的用户时:
http://localhost:3000/users/1/edit
它工作正常,但是当我将用户 ID 更改为 2 或 3 ..
我可以更新所有用户数据
我如何限制仅当当前用户是登录用户时才编辑页面

这是我的控制器: 

skip_before_action :require_login, only: [:new, :create, :show]

def new
 @user = User.new
end

def create
@user = User.new(user_params)
if @user.save
  auto_login(@user)
  flash[:info] = "Welcome."
  redirect_to root_url
else
  render 'new'
end
end

def edit
  @user = User.find(params[:id])
end

def update
@user = User.find(params[:id])
if @user.update_attributes(user_params)
  flash[:success] = "Profile updated"
  redirect_to @user
else
  render 'edit'
end
end

def show
 @user = User.find(params[:id])
end

private

def user_params
 params.require(:user).permit(:email, :password, :password_confirmation)
end
4

2 回答 2

1

你也可以做这样的事情

before_action :edit_rights?, only: [:update, :edit]

private
def edit_rights?
  @user = User.find(params[:id])
  redirect_to(root_path) unless current_user == @user
end

那么你就不需要@user = User.find(params[:id])在这两个updateedit行动中

于 2015-05-16T20:38:06.227 回答
0

有(至少)两种方法可以做到这一点。首先,直接在另一个答案中详细说明,微调您的控制器。

一个不太明显的方法是创建一个单一的资源和它自己的控制器。在可能看起来像的路线中:

resource :profile, only: [:show, :edit, :update]
# generates:
# /profile (GET, PATCH, PUT)
# /profile/edit (GET)

然后创建一个仅对用户自己的配置文件负责并且仅在current_user.

是的,一个模型有多个控制器是可以的,如果你的模型在你的应用程序的不同部分表现得非常不同的话。

为什么要这么做?

  • 用户自己的个人资料可以显示比公开可用的信息更多的信息,您可以将其布置在单独的视图中
  • 没有“拒绝访问”错误,因为资源是通过 自动选择的current_user,您只需要确保用户在整个控制器中登录即可。
于 2015-05-17T09:54:45.950 回答