我正在使用mongoid在rails应用程序上编写ruby,我想知道在同一文档中存储用户和管理员用户的安全隐患。我目前的实现是使用设计和类型的activeadmin如何做到这一点。管理员用户在一个单独的文档中,因此没有人有可能升级他们的权限。这是一个面向公众的网站,涉及一些财务信息。
但我很好奇,如果我可能只为自己做更多的工作,这是不需要的。
答案 0 :(得分:0)
只要您阻止用户更新特权机制,就不会有任何影响。例如,如果您有一个名为is_admin的布尔标志,那么确保您拥有attr_protected :is_admin对于防止批量更新更改此权限至关重要。