RailsCasts Pro episodes are now free!

Learn more or hide this

Restricting Access

#20 Restricting Access

Apr 18, 2007 | 4 minutes | Security, Administration
In this second part of the series on administration, you will learn how to lock down the site to keep the public from accessing the administration features.
Click to Play Video ▶
  • Download:
  • mp4Full Size H.264 Video (9.4 MB)
  • m4vSmaller H.264 Video (5.82 MB)
  • webmFull Size VP8 Video (14.7 MB)
  • ogvFull Size Theora Video (11.9 MB)
Es It Fr En Pt

限制访问权限

在上一篇中,我们在文章列表页增加了编辑和删除操作的连接,暂时还没有进行访问控制;以至于所有访问者都能看到并进行操作。

本应是管理员看到的按钮对所有人可见了。

下面为这些按钮增加权限,在连接元素外面包一个edit方法的调用,只有返回true了才可见。

ruby 
<li>
  <p class="episodeId"><%= episode.episode_id %></p>
  <h3><%= link_to episode.title, episode_path(episode.identifier) %></h3>
  <p class="summary"><%= episode.summary %></p>
  <p class="tagList">
    Tags: <% episode.tags.each do |tag| %><%= link_to tag.title, tag_path(tag.title) %><% end %>
  </p>
  <% if admin? %>
  <p class="adminActions">
    <%= link_to "Edit", edit_episode_path(episode) %>
    <%= link_to "Destroy", episode_path(episode), :confirm => "Are you sure?", :method => :delete %>
  </p>
  <% end %>
</li>

在编辑和删除操作连接上增加了admin?方法的调用。

然后是实现admin?方法,应该把这个方法写在哪里? 这里的场景是要在View中调用这个方法,理应写在application_helper.rb中。但是我觉得关于权限判断的逻辑将来也有可能在控制器中调用,所以还是写在ApplicationController中吧。

ruby 
class ApplicationController < ActionController::Base
  helper_method :admin?  
  protected
  def admin?
    false
  end  
end

ApplicationController类中增加admin?方法的定义。

现在的实现很简单,直接返回false(下一篇中会继续实现),不过已经可以使用了。别忘了设置为helper_method以便在View中能够被调用。

即将完成

现在倒是能够通过调用admin?方法检查对非管理员隐藏连接了,但是还有问题:如果通过直接输入网址,依然能够转向编辑和删除页面。这个问题通过使用before_filter方法来解决。

ruby 
class EpisodesController < ApplicationController
  before_filter :authorize, :except => [:index, :show ]
  
  def index
    @episodes = Episode.find(:all)
  end
  # show, new, create, edit, update and destroy methods hidden.
end

增加了before_filter的控制器类。

before_filter方法会在这个控制器除了indexshow方法以外的任何一个方法调用之前被调用,并执行authorize方法。我们在ApplicationController中增加authorize方法,以便其他控制器也能使用。

ruby 
class ApplicationController < ActionController::Base
  helper_method :admin?  
  protected
  def admin?
    false
  end  

  def authorize
    unless admin?
      flash[:error] = &ldquo;Unauthorized access&rdquo;
      redirect_to home_path
      false
    end
  end
end

增加了authorize方法的ApplicationController

这个方法检查当前登录的用户是不是具有管理员权限,如果没有显示一个错误并且重定向到首页。这样就实现了直接访问新建文章页面后,被自动重定向回首页。当然,也可以抛出一个404 (找不到页面)错误,让未授权用户有所感知。

#TODO:

admin?方法还需要补充业务逻辑。下一篇介绍。