如果您创建的系统USERS可以编写其他USERS无法查看或访问的文章,您是否只有一个带有权限控制的ARTICLES表?
我不太确定拥有一张包含其中所有内容的表格对安全性有好处。但是,我不认为我想创建一个包含每个USER文章的新表。
有更好的方法对此进行建模吗?
答案 0 :(得分:0)
我认为让数据库负责此类授权检查是不合适的。您的数据库应该知道的唯一“用户”是允许访问它的应用程序。管理用户身份验证和确定这些用户有权访问的内容的业务规则属于您的应用程序。
而是查看现有授权工具,以管理对模型的访问。例如:https://github.com/ryanb/cancan