我找不到任何明确的答案。 我有一个带有 devise 的用户模型,并且添加了一个 bool 值“admin”属性,默认为 false。目前,我必须转到控制台并手动将属性更改为 true 才能为用户提供此管理状态。
我的问题是,这有多安全?有没有办法让某人在不访问服务器(当前是我的计算机)的情况下更改自己用户的状态? 一旦站点投入生产,安全性是否会受到影响? admin 属性不是登录、注册或更新时允许的参数。
我这么问是因为我想添加一个个人仪表板,以便自己在网站投入生产时查看、编辑或删除我可能需要的任何内容。
最佳答案
如果您使用strong params那么只有当您允许从管理面板之外的任何操作设置此属性时才会存在风险。
为了更加安全,您可以使用attr_readonly
,这样您只能在创建对象时设置此属性。
关于ruby-on-rails - rails 上的 ruby 。用户模型的管理属性有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34883363/