在铁轨中保护某些路线

时间:2013-09-03 08:09:50

标签: ruby-on-rails

我在路线文件中有这个:

devise_for :users,  :controllers => { :registrations => "users/registrations",
:sessions => "users/sessions",
:omniauth_callbacks => "users/omniauth_callbacks" }
devise_scope :user do
  get 'sign_in', :to => 'users/sessions#new', :as => :new_user_session
  get 'sign_out', :to => 'devise/sessions#destroy', :as => :destroy_user_session
end

现在我补充道:

resources :users

因为我希望管理员用户能够看到所有用户。

CanCan我有这个:

class Ability
  include CanCan::Ability

  def initialize(user)
    if user
      if user.admin?
        can :manage, :all
      end
      can [:read, :edit, :update], User, :id => user.id
    end
    can [:create], User
  end
end

这足够安全吗?我是否还应该在UserController中添加一个before_filter来阻止对新创建的路由的调用?像这样的东西?问题是用户无法再更改自己的个人资料...... 

before_filter :check_rights

private
  def check_rights
    unless current_user.admin
      redirect_to root_path
    end
  end

1 个答案:

答案 0 :(得分:0)

找到解决方案。 before_filter是完全正确的。

我添加了

resources :users

在设计部分之前,你需要把它放在那个部分后面,然后用户仍然可以改变自己的配置文件,但不能去索引例如。

相关问题
最新问题