安全地添加对 Rails 网站的管理访问权限的最佳方法是什么？

Question

我认为答案是管理员登录，然后检查用户是否有管理员标志，但我也想到了其他一些相关问题。

在与非管理员相同的用户表中拥有管理员标志（attr_protected）是否更好？ 或者我应该有一个管理员用户表？

我应该为管理员用户创建一个单独的 Rails 应用程序吗？ 这可能有点矫枉过正，因为它们都必须访问相同的数据库（更不用说设置起来可能会很痛苦）。

还有其他建议吗？ 现在我只需要保护一两个页面，所以我什至研究了 HTTP 基本或摘要身份验证作为临时措施（受保护的内容实际上并不那么私密/重要）。 但是...我不知道如何实现特定操作的 HTTP 身份验证，我只看到如何实现它以防止目录访问。

任何方向和讨论都会很棒。 我相信其他 Stack Overflow 用户将从这次讨论中受益。

谢谢！

Answer 1

我认为这取决于管理类型。

如果您的管理员对该站点的视图与普通用户的视图相同，但具有额外的权限，那么我会使用管理员标志。 （或者，随着您的需求扩展，一个成熟的角色表。）在这种情况下，每个人都看到相同的内容，但管理员可以访问普通用户无法访问的各种操作（删除？编辑？禁止？等）。

如果您的管理员需要的视图与普通站点有很大不同，我会推荐一个完全独立的 Rails 应用程序来访问相同的数据库。 例如，如果您的“管理员”实际上是要接听电话或处理帐单问题的帮助台员工，那么他们可能对数据库有完全不同的视图（也许还有编辑数据的方法），而这些视图在常规应用程序。

拥有多个站点的缺点是模型（验证、关联等）可能不同步。 拥有单个站点的缺点是，您最终可能会在站点先前易于理解的部分中插入各种丑陋的“if-admin”代码。 哪个问题更容易处理取决于您的要求。

Answer 2

Ryan Bates 关于这个主题有一个很棒的由三部分组成的 Railscast 系列，应该会给您一些思考的空间：

• 第 1 部分：管理走向
• 第 2 部分：限制访问
• 第 3 部分： 超级简单身份验证

另外还有三种采用不同身份验证技术的 Railscast：

• RESTful 身份验证
• HTTP 基本身份验证
• Authlogic

Answer 3

为此，我使用 restful_authentication 插件。 限制对任何控制器或任何方法的访问非常简单。 在控制器中的示例中添加此功能：

private
def authorized?
  user.admin?
end

或者

private
def authorized?
  user.admin? if update? || create?
end

我定义了管理员？ 我的用户模型中的方法。 我也创建了更新？ 并创造？ 检查调用了哪个操作的方法。 在restful_authentication中授权？ 访问控制器时始终运行该方法。

我会将所有内容放在一个应用程序和一张表中（不创建用户和管理表）。 您可以通过仅允许为现有管理员用户设置此值来保护用户控制器中的管理员标志。