防止用户将自己设为管理员

Question

在我的应用程序中，我有一个“用户”模型，其中包含许多属性，包括“has_admin_rights”。如果为 true，则用户是管理员，如果为 false，则不是。

每个用户都有一个个人资料，包括他们的登录名、电子邮件地址、个人资料图片等。

如果我以普通用户身份登录，我可以单击名为“个人资料”的页面，然后可以编辑自己的帐户，例如更新我的电子邮件地址、个人资料图片、密码等等。我只能编辑我的帐户，而不能编辑其他帐户。

如果我以管理员身份登录，我可以做更多事情：例如，我可以让另一个用户成为管理员，或者取消他们的管理员权限。

现在，只有管理员可以访问出现“make admin”复选框的视图，但我感觉仅仅限制对视图的访问是不够的。

我担心的是，由于任何用户都可以编辑自己的个人资料，那么如何阻止用户提交自定义表单帖子，其中包含自己帐户上的“has_admin_rights”=>“1”参数 -从而授予自己管理员访问权限？

我的想法是，在用户控制器中，在对“has_admin_rights”字段进行任何更改之前，我需要检查以确保发出请求的用户当前是管理员 - 否则我完全忽略该请求，并且不做任何改变。

Answer 1

在用户控制器中，在对“has_admin_rights”字段应用任何更改之前，我需要检查以确保发出请求的用户当前是管理员 - 否则我完全忽略该请求，并且不进行任何更改。< /p>

是的，正是如此。永远不要相信客户；请记住，任何人都可以直接使用 Firebug 或其他方式调整页面。

我还建议您考虑添加审核跟踪，并在一个管理员将另一个用户设为管理员时记录一些内容。也许还可以向特定组的所有管理员发送电子邮件，让他们知道管理员已被创建（或权限已被撤销）。

Answer 2

attr_protected 也非常有用

class User < ActiveRecord::Base

  attr_protected :is_admin

end

Answer 3

在执行此验证的用户模型中添加 before_save 。

Answer 4

Ue attr_accessible 可以通过质量设置的模型属性白名单- 作业

  class User < ActiveRecord::Base
    attr_accessible :has_admin_rights
  end

和在控制器中

  @user.has_admin_rights = current_user.is_admin? "1" : "0"