我添加了devise invitable然后我自己完全独立的控制器,用类方法User.invite处理所有内容!等等 - >一切正常。
只是想知道什么是禁用路由用户/邀请/新
的最佳方法- >如果有人看了应用程序并发现它是rails,然后猜测它是使用设计,然后看到它有邀请,他们可能会尝试发布给用户/邀请控制器以创建我写的代码之外的邀请。边缘情况肯定,但安全漏洞。
但是我没有看到什么是破坏这条路线的合理方式?以为我可以在routes.rb中覆盖:
match '/users/invitation/new', :to => 'home#cp'
但那不起作用。我是否必须为邀请添加控制器然后重新定义它(我尝试过,但在此过程中我的应用程序崩溃了) - 是否有简单的方法可以从我的应用程序中删除该路径?
答案 0 :(得分:1)
Check the documentation,您会发现您可以自行修改和配置设备路线。我在我的项目中使用Devise,我们只做了一点修改。
这是一个片段:
devise_for :users,
:controllers => { :sessions => 'users/sessions',
:registrations => 'users/registrations' } do
get 'sign_in' => 'users/sessions#new'
get 'sign_up' => 'users/registrations#new'
get 'signup_success' => 'users/registrations#signup_success'
get 'users/profile' => 'users/registrations#profile',
:as => 'user_profile_settings'
end