ruby-on-rails - rails 上的 ruby 。用户模型的管理属性有多安全?

标签 ruby-on-rails security devise admin

我找不到任何明确的答案。 我有一个带有 devise 的用户模型,并且添加了一个 bool 值“admin”属性,默认为 false。目前,我必须转到控制台并手动将属性更改为 true 才能为用户提供此管理状态。

我的问题是,这有多安全?有没有办法让某人在不访问服务器(当前是我的计算机)的情况下更改自己用户的状态? 一旦站点投入生产,安全性是否会受到影响? admin 属性不是登录、注册或更新时允许的参数。

我这么问是因为我想添加一个个人仪表板,以便自己在网站投入生产时查看、编辑或删除我可能需要的任何内容。

最佳答案

如果您使用strong params那么只有当您允许从管理面板之外的任何操作设置此属性时才会存在风险。

为了更加安全,您可以使用attr_readonly,这样您只能在创建对象时设置此属性。

关于ruby-on-rails - rails 上的 ruby 。用户模型的管理属性有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34883363/

上一篇:types - Isabelle:对于构造函数使用公理化和数据类型有区别吗

下一篇:perl - 分割字符串

相关文章:

ruby-on-rails - Rails 谷歌-oauth2 404 - "Not found. Authentication passthru."

由于rvm的原因Mysql无法正常下载

javascript - rails : onchange posting not sending param

security - 通过 GTM 使用 GA 时,如何从 URL 中清除 PII?

c++ - QT 自定义插件 - 提高安全性的方法

ruby-on-rails - RAILS/DEVISE - 设置设计 cookie 以在不同的子域中持续存在

ruby-on-rails - Rails + Devise 如何不强制使用 SSL?

ruby-on-rails - Rails - 为模式用户提供和检查大小

ruby-on-rails - 在 Rails 应用程序中使用不同的 ruby​​ 调用 shell 脚本

java - 如何避免代码库中存在 keystore/trustore 纯文本密码?

©2024 IT工具网  联系我们