ruby-on-rails - rails : Keeping user spoofing checks DRY-6ren

ruby-on-rails - rails : Keeping user spoofing checks DRY

转载作者：太空宇宙更新时间：2023-11-03 18:02:30

24

4

我正在使用 Ruby on Rails 编写一个博客应用程序，这有点缺乏创意。我的 PostsController 包含一些代码，确保登录用户只能编辑或删除他们自己的帖子。

我尝试将此代码分解为一个私有(private)方法，其中包含一个用于显示 flash 消息的参数，但是当我这样做并通过编辑另一位作者的帖子对其进行测试时，我得到了一个 ActionController::DoubleRenderError - “每次操作只能呈现或重定向一次”。

我怎样才能保留这些支票 DRY ？显而易见的方法是使用前置过滤器，但 destroy 方法需要显示不同的 flash。

这里是相关的 Controller 代码:

before_filter :find_post_by_slug!, :only => [:edit, :show]

def edit

  # FIXME Refactor this into a separate method
  if @post.user != current_user
    flash[:notice] = "You cannot edit another author’s posts."
    redirect_to root_path and return
  end
  ...
end

def update 
  @post = Post.find(params[:id])

  # FIXME Refactor this into a separate method
  if @post.user != current_user
    flash[:notice] = "You cannot edit another author’s posts."
    redirect_to root_path and return
  end
  ...
end

def destroy
  @post = Post.find_by_slug(params[:slug])

  # FIXME Refactor this into a separate method
  if @post.user != current_user
    flash[:notice] = "You cannot delete another author’s posts."
    redirect_to root_path and return
  end
  ...
end

private
def find_post_by_slug!
  slug = params[:slug]
  @post = Post.find_by_slug(slug) if slug
  raise ActiveRecord::RecordNotFound if @post.nil?
end

最佳答案

前过滤器方法仍然是一个不错的选择。您可以使用 Controller 的 action_name 方法访问请求的操作。

before_filter :check_authorization

...

protected

def check_authorization
  @post = Post.find_by_slug(params[:slug])
  if @post.user != current_user
    flash[:notice] = (action_name == "destroy") ? 
      "You cannot delete another author’s posts." : 
      "You cannot edit another author’s posts."
    redirect_to root_path and return false
  end
end

对不起中间那个三元运算符。 :) 当然你可以做任何你喜欢的逻辑。

如果你愿意，你也可以使用一个方法，并在失败时通过显式返回来避免双重渲染。这里的关键是返回，这样你就不会重复渲染。

def destroy
  @post = Post.find_by_slug(params[:slug])
  return unless authorized_to('delete')
  ...
end

protected

def authorized_to(mess_with)
  if @post.user != current_user
    flash[:notice] = "You cannot #{mess_with} another author’s posts."
    redirect_to root_path and return false
  end
  return true
end

您可以(在我看来)通过拆分行为的不同部分(授权、处理错误授权)来进一步简化它，如下所示:

def destroy
  @post = Post.find_by_slug(params[:slug])
  punt("You cannot mess with another author's post") and return unless author_of(@post)
  ...
end

protected

def author_of(post)
  post.user == current_user
end

def punt(message)
  flash[:notice] = message
  redirect_to root_path
end

就个人而言，我更喜欢将所有这些日常工作卸载到插件中。我个人最喜欢的授权插件是 Authorization .在过去的几年里，我使用它取得了巨大的成功。

这将重构您的 Controller 以在以下方面使用变体:

permit "author of :post"

关于ruby-on-rails - rails : Keeping user spoofing checks DRY，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/901772/

24

4

0

文章推荐： python - 赋值前引用的局部变量 'context_dict'

文章推荐： javascript - 如何在单击第 3 方按钮时设置断点？

文章推荐： c# - 如果URL包含“＃”，如何在C#中获取页面的完整URL？

文章推荐： css - JQM Datebox 不显示日历图标

HTTP Keep Alive 和 TCP Keep Alive
HTTP Keep Alive是如何实现的？它在内部使用 TCP Keep Alive 吗？如果不是，服务器如何检测客户端是死是活？最佳答案我知道这是一个老问题，但仍然: HTTP Keep-Al
http - Keep TCP connection keep alive and loop only GET 命令
我需要在每次连接到我的网站和获取数据时节省时间。这是我的工作。 ESP 模块连接到家庭 WiFi。 AT+CIPMUX=0 --> 响应OK AT+CWMODE=1 --> 响应OK AT+CIPS
c# - 建立 httpheader 连接 : Keep-Alive into lower-case "keep-alive"
我尝试添加新标题的方法: request.Headers.GetType().InvokeMember("ChangeInternal", BindingFlags.Instance | Bi
node.js - 连接:keep-alive is not keeping the socket connection for HTTP request in NodeJS
我听说 Connection:Keep-Alive header 会告诉服务器将客户端和服务器之间的连接保持一段时间，以防止每次客户端向服务器建立请求时都要付出努力。我尝试将其添加到请求的 heade
CSS Bootstrap : how do I keep side by side div keep content height equals on resize?
我遇到了一种我一直在研究的垂直 slider 的问题。问题是，当我更改显示分辨率时，右侧缩略图的高度与左侧图片的高度不同。很难用文字来解释，所以我做了一个代码笔来帮助我更好地理解它。是这样的: htt
php - http :keep-alive keep the php resources open or does it free all the resources? 吗
我在 apache 服务器上使用 http keep-alive，比方说我要求它保持连接打开最多 2 分钟... 现在，如果连接被创建并闲置一分钟，php 持有的资源，像 mysql 连接、文件句
android - '-keep class a.b.**' 和 '-keep class a.b.** {}' 之间的区别
我看到一些 proguard 配置有这样的行: -keep class a.b.** {} 我对 {} 的使用感到困惑。这个我知道 -keep class a.b.**表示保留包a.b及其子包中的所有
keep-alive保持组件状态的方法
keep-alive的设计初衷有些业务场景需要根据不同的判断条件，动态地在多个组件之间切换。频繁的组件切换会导致组件反复渲染，如果组件包含有大量的逻辑和dom节点，极易造成性能问题。其次，切换后组件
mysql "KEEP ONLY"命令？
我知道有一个 DELETE FROM WHERE mysql 中的命令，如果表达式有效，则从指定表中删除元组。然而，在取keep only表达式的补码时总是使用德摩根定律成为一种负担。我的问题
html - 页脚问题 : Can't Keep it Down
我已经尝试了 2 个小时让我的页脚留在底部。我一直在尝试“Matthew James Taylors”技术，但没有成功。有人看到我遗漏了什么或做错了什么吗？这是一个活生生的例子:http://g
javascript - 代码片段 : Where do I keep them?
是否有工具或流程可以让您的函数、选择器和“for 循环”方便且可搜索以供将来使用？我什么也没用，偶尔会重新学习我已经解决的类似问题。背景:我正在学习 jQuery 和 Javascript，并开始看
现代的http keep-alive
所以根据haproxy作者的说法，谁知道关于http的一两件事: Keep-alive was invented to reduce CPU usage on servers when CPUs we
netty中TCP keep-alive判断client是否断开
我正在尝试确定客户端是否已关闭来自 netty 的套接字连接。有办法做到这一点吗？最佳答案在客户端通过 close() 关闭套接字并且 TCP 关闭握手已成功完成的通常情况下，channelIna
git - "Keeping up"与远程主机在长期本地主题分支上工作时
我已经在本地主题分支上工作了一段时间，偶尔只做一些更改。与此同时，master 分支有了显着的发展。我决定将 master 分支中的新更改 merge 到我的本地主题分支中(与我从中分支出来的
vue keep-alive的简单总结
1、作用　　主要用于保留组件状态或避免重新渲染。 2、用法　　<keep-alive> 包裹动态组件时，会缓存不活动的组件实例，而不是销毁它们。　　<ke
http1.1的默认长连接Connection:keep-alive与TCPKeepAlive之间区别
HTTP 长连接，也称为 HTTP 持久连接（HTTP Persistent Connection）或 HTTP 连接重用，是一种在 HTTP 协议中实现的机制。在传统的 HTTP
dll - ILMerge & Keep 程序集名称
我需要合并一些 dll，文件名和程序集名称都需要与我的主 dll (mydll.dll) 相同。我还需要 pdb 文件。我如何完成这项工作？以下是我尝试过的一些方法: 只需使用 ILMerge my
django - 如何在表单验证错误中 "keep"上传的图像？
我有一个在其他字段中具有FileField的表单。假设用户选择了一个文件，然后按Submit(提交)，另一个字段触发了ValidationError。当我取回表单时，页面上出现错误，用户为文件字段选
scala - Keep in akka 流是什么意思？
我正在学习 akka 流，在代码中遇到了 Keep.left 和 Keep.right: implicit val system = ActorSystem("KafkaProducer") impl
svn - SVN删除--keep-local
我正在一个项目中，有人检查了一些文件夹和文件，这些文件夹和文件不应该位于存储库中，并且应该位于我们本地，我尝试通过以下命令删除它们，这给了我这个错误 svn delete filename --kee

首页

博学

6Ren·AI

商城

ruby-on-rails - rails : Keeping user spoofing checks DRY