我是rails的新手并制作我的身份验证/授权系统,因为设计对我所需要的东西来说太过分了。我意识到,由于我不是安全专家,它可能会有漏洞。我已尽力测试以下是否会出现安全问题,但也许更有经验的人会给我两分钱:)
这是代码,我正在尝试做的是非常自我解释:
def user_params
if is_super_user
params.require(:user).permit(:firstname, :lastname, :email, :password, :password_confirmation, :role_id)
else
params.require(:user).permit(:firstname, :lastname, :email, :password, :password_confirmation)
end
end
因此普通用户不应该能够改变权限级别,而超级用户可以。这可以吗?有更好的解决方案吗?