RailsCasts中文版,#20 Restricting Access 为页面增加权限校验2

最新推荐文章于 2016-11-24 19:31:49 发布
最新推荐文章于 2016-11-24 19:31:49 发布
阅读量1.9k 收藏
点赞数
分类专栏: RailsCasts中文版 ruby on rails RailsCasts中文版 文章标签: access railscasts redirect 权限

限制访问权限

在上一篇中,我们在文章列表页增加了编辑和删除操作的连接,暂时还没有进行访问控制;以至于所有访问者都能看到并进行操作。

本应是管理员看到的按钮对所有人可见了。

下面为这些按钮增加权限,在连接元素外面包一个edit方法的调用,只有返回true了才可见。

<li>
  <p class="episodeId"><%= episode.episode_id %></p>
  <h3><%= link_to episode.title, episode_path(episode.identifier) %></h3>
  <p class="summary"><%= episode.summary %></p>
  <p class="tagList">
    Tags: <% episode.tags.each do |tag| %><%= link_to tag.title, tag_path(tag.title) %><% end %>
  </p>
  <% if admin? %>
  <p class="adminActions">
    <%= link_to "Edit", edit_episode_path(episode) %>
    <%= link_to "Destroy", episode_path(episode), :confirm => "Are you sure?", :method => :delete %>
  </p>
  <% end %>
</li>

在编辑和删除操作连接上增加了admin?方法的调用。

然后是实现admin?方法,应该把这个方法写在哪里? 这里的场景是要在View中调用这个方法,理应写在application_helper.rb中。但是我觉得关于权限判断的逻辑将来也有可能在控制器中调用,所以还是写在ApplicationController中吧。


class ApplicationController < ActionController::Base
  helper_method :admin?  
  protected
  def admin?
    false
  end  
end

ApplicationController类中增加admin?方法的定义。

现在的实现很简单,直接返回false(下一篇中会继续实现),不过已经可以使用了。别忘了设置为helper_method以便在View中能够被调用。

即将完成

现在倒是能够通过调用admin?方法检查对非管理员隐藏连接了,但是还有问题:如果通过直接输入网址,依然能够转向编辑和删除页面。这个问题通过使用before_filter方法来解决。


class EpisodesController < ApplicationController
  before_filter :authorize, :except => [:index, :show ]
  
  def index
    @episodes = Episode.find(:all)
  end
  # show, new, create, edit, update and destroy methods hidden.
end

增加了before_filter的控制器类。

before_filter方法会在这个控制器除了indexshow方法以外的任何一个方法调用之前被调用,并执行authorize方法。我们在ApplicationController中增加authorize方法,以便其他控制器也能使用


class ApplicationController < ActionController::Base
  helper_method :admin?  
  protected
  def admin?
    false
  end  

  def authorize
    unless admin?
      flash[:error] = “Unauthorized access”
      redirect_to home_path
      false
    end
  end
end

增加了authorize方法的ApplicationController

这个方法检查当前登录的用户是不是具有管理员权限,如果没有显示一个错误并且重定向到首页。这样就实现了直接访问新建文章页面后,被自动重定向回首页。当然,也可以抛出一个404 (找不到页面)错误,让未授权用户有所感知。

#TODO:

admin?方法还需要补充业务逻辑。下一篇介绍。


作者授权:Your welcome to post the translated text on your blog as well if the episode is free(not Pro). I just ask that you post a link back to the original episode on railscasts.com.

原文链接:http://railscasts.com/episodes/20-restricting-access


边晓宇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sun Fire™ E25K/E20K Systems
04-19
This document and the product to which it pertains are distributed under licenses restricting their use, copying, distribution, and decompilation. No part of the product or of this document may be ...
Java Web基础入门第七十讲 Filter(过滤器)——初识过滤器
李阿昀的博客
08-29 3615
Filter简介Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp,Servlet,静态图片文件或静态html文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。 Servlet API中提供了一个Filter接口,开发web应用时,
使用Rails做一个RBAC的权限管理系统(不使用插件)
蕲春人的博客
07-15 446
前几天,稍微分析了一下RBAC形式的权限管理系统的实现原理,然后我使用Rails做了一个。 先来说一下表间的关系: users roles roles permissions 很简单,用户和角色是多对多关系,角色和权限也是多对多关系,那么关于权限管理这一块就一共有5张表。 具体的表结构: 还是直接看数据库定义文件吧! [code="ruby"] ActiveRecord:...
rails 权限控制
睡懒觉的程序员
06-25 352
安装地址:git clone git://github.com/stffn/declarative_authorization.git vendor/plugins/declarative_authorization   这里不在svn上面,需要安装git(自己google) 1.在user模型是上加roles字段,该字段存储权限   2.打开application_controller...
filter控制url访问权限
Event driven
11-13 119
         在project应用中有一些url是不可以直接访问的,必须有授权或是经过某些处理才能访问,比如访问某些功能必须登录,某些功能必须是指定的用户才能访问,这些需要用到访问权限的控制,如果具有访问的权限,则允许访问,没权限则跳转到指定的处理页面。 package com.bird.filter; import java.io.IOException; impor...
Restricting Good Receipt Unless Production order confirmed
08-31
Restricting Good Receipt Unless Production order confirmed 当生产订单确认时才允许收货
Restricting the nonlinearity parameter in soil greenhouse gas flux calculation
02-14
the flux calculation scheme for any specific static N2O chamber measurement system. The decision procedure and visualisation tools are implemented in a package for the R software. Finally, we ...
Python Cookbook, 2nd Edition
05-17
Chapter 2. Files Introduction Recipe 2.1. Reading from a File Recipe 2.2. Writing to a File Recipe 2.3. Searching and Replacing Text in a File Recipe 2.4. Reading a Specific Line from a ...
Cisco Press - OSPF Network Design Solutions, 2nd Edition
10-03
Chapter 2 Introduction to OSPF 47 Chapter 3 OSPF Communication 103 Part II OSPF Routing and Network Design 161 Chapter 4 Design Fundamentals 163 Chapter 5 Routing Concepts and Configuration 225 ...
Java Web基础入门第七十七讲 Filter(过滤器)——Filter(过滤器)常见应用(三):权限管理系统(上)
李阿昀的博客
09-12 6092
我们要设计的权限管理系统,要使用Filter实现URL级别的权限认证。那我们不禁就要想设计出的权限管理系统应该使用在哪种情景中呢?我想应该是这样的一种情景吧:在实际开发中我们经常把一些执行敏感操作的servlet映射到一些特殊目录中,并用filter把这些特殊目录保护起来,限制只能拥有相应访问权限的用户才能访问这些目录下的资源。从而在我们系统中实现一种URL级别的权限功能。而且为使Filter具有通
rails 权限系统搭建
江湖 - 郎中 - 路
02-03 922
1、基础配置 rails new demo8 --skip-bundle vi Gemfile gem 'mysql' gem 'devise' gem 'cancan' gem 'rolify' gem "twitter-bootstrap-rails" bundle install vi config/database.yml default
Rails插件:CanCan权限验证插件学习总结
08-20 103
Rails插件:CanCan权限验证插件学习总结 http://www.ahu.me/?p=231kinder editor plugin for rails3http://doabit.iteye.com/blog/749031 ...
提升Ruby on Rails性能的几个解决方案
tongxiaomingicesword的专栏
11-24 2136
简介 Ruby On Rails 框架自它提出之日起就受到广泛关注,在“不要重复自己”,“约定优于配置”等思想的指导下,Rails 带给 Web 开发者的是极高的开发效率。 ActiveRecord 的灵活让你再也不用配置繁琐的 Hibernate 即可实现非常易用的持久化,Github 和 Rubygems 上丰富多样的 Rails 插件是 Rails 开发高效率的又一有力保障。Rails
Rails权限验证工具Pundit
sulong507的专栏
08-15 1449
在人们开始使用Rails 4之后, cancan的复杂以及兼容性修复不及时而遭人诟病,大家将目光投向了新的工具 Pundit。 Pundit是一个纯ruby的gem,用于权限验证。 基本思路 Pundit针对当前模型对象,以及操作,会去相应的模型的policy中寻找操作验证的方法,继而实现验证。 也就是说,只要是任何一个class,需要对他的实例进行验证,只要将验证规则写在对应的p
Filter应该——访问限制
mg2009的专栏
07-30 1260
<br />     在我们做实际项目当中,经常会对部分页面的访问进行控制。例如在一个交友系统中,假设有一个页面是listFriends.jsp,当然用户要访问这个页面就必需要行进行登陆,如果是一个匿名用户(没登陆的用户)访问,那么系统的开发者就应当考虑对这个页面需不需要做一个访问的控制,以限定访问用户的类型。一般来说对于这样的样面都是需要做访问控制。一来可以避免操作出错,二来可以防止信息的泄漏。<br />      对具体一个页面,做访问控制可以有两种方法实现。一种是通过session,另一种通过Fil
用过滤器进行权限控制实例 附源码
asbss的博客
01-15 439
用过滤器实现的简单的权限控制 没有登陆的情况下,直接访问登陆页面为的其他页面 将自动转到登陆页面 登陆成功后,自动转到刚请求的页面 本源码在eclipse也运行通过 下载后,可以直接导入到eclipse中. 注:默认的登录名:zhangsan  密码:zhangsan...
访问权限控制AuthFilter
dstliang的专栏
10-20 2517
import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletR...
minio accessdenied
最新发布
03-31
If you are experiencing an "Access Denied" error while trying to access MinIO, there are a few things you can check: 1. Make sure you have the correct access key and secret key. Check with the MinIO ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值