堆棧內存溢出
  簡體   English   中英

使用Rails 3,保護整個站點免受未經身份驗證的用戶攻擊的最簡單方法是什么?

[英]With Rails 3, What's the easiest way to protect an entire site from un-authenticated users?

 原文  2011-04-15 23:16:05       ruby-on-rails/ authentication/ routes

問題描述

我正在使用Devise進行網站身份驗證。 未經身份驗證的訪問者應該只能看到:歡迎頁面,注冊頁面和登錄頁面。 對於未經身份驗證的訪問者,所有其他頁面/路線都將完全不可訪問。

我看着康康,但這似乎遠遠超出了我的需要。

我看到了一些建議在Apache級別上執行此操作的建議,但要縮短Web服務器設置的使用壽命,實在是很短的路要走。

我看到一兩篇關於使用基於會話或用戶的before_filter的文章,但看來我必須修改每個控制器中的每個方法。

還有其他方法嗎? 如果我可以將我的路線標識為那些可公開訪問且需要身份驗證的路線,那就太好了。 那可能嗎? 還是可以基於current_user輕松禁用完整的控制器?

只是尋找非常簡單明了的東西。 某些錯誤會引起額外的加分。 :-)

2 個解決方案

解決方案1
 3 已采納  2011-04-15 23:20:20

只需在Application Controller中添加一個禁止訪問未經身份驗證的用戶的方法(使用before_filter ),然后為要向其授予訪問權限的控制器覆蓋此方法。

因此在應用程序控制器中: 

before_filter :only_authenticated_users_are_welcome

def only_authenticated_users_are_welcome
  !user.blank?
end

並授予訪問某些頁面及其控制器的權限: 

def only_authenticated_users_are_welcome
  true
end

或添加更多邏輯以僅授予對控制器內某些操作的訪問權限。

解決方案2
 2  2011-04-22 14:23:45

同意klew的回答,但是除了可以覆蓋only_authenticated_users_are_welcome的定義之外,您可以: 

skip_before_filter :only_authenticated_users_are_welcome, :except => [:foo, :bar]

在這應該被保護,並注意使用的控制器:除了指示其的before_filter 不應被跳過的方法。 您也可以使用:only => [:foo,:bar]表示跳過適用於所選方法。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在Rails 3中檢測用戶操作系統的最簡單方法是什么? 在Rails 4中添加真棒字體的最簡單方法是什么 將Rails中的子域指向特定控制器的最簡單方法是什么? 用捆綁器維護一組修補的rails gem的最簡單方法是什么? 在本地設置紅寶石/鐵軌沙箱的最簡單方法是什么? 在整個rails應用程序中實施SSL的最佳和最簡單的設置是什么? 保護某些記錄免受修改或刪除的最佳方法是什么? 同步模型更改的最簡單方法是什么? 軌道 Rails 3.1。 進行鏈接下拉列表選擇的最簡單方法是什么? 查看Rails應用程序的網站統計信息的正確方法是什么?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM