例:
用户A(id = 10)已创建照片资源
photo: (id: 1 user_id = 10,url: "http://...")
现在,如果用户B(id = 20)去这个URL:/ photos / 1 /编辑它可以编辑用户A的照片!!!
默认情况下,Rails Devise为此提供了一些内容?看来这是一个很常见的问题
我只需要允许任何用户可以编辑/删除其创建的资源(其中current_user == resource.user)
使用:Rails 4,Devise
更新:
我觉得CanCan太先进了.我不需要角色或限制某些用户的行为
解决方法
在您的PhotosController中:
before_filter :require_permission,only: :edit def require_permission if current_user != Photo.find(params[:id]).user redirect_to root_path #Or do something else here end end
