我正在写一个模块,限制用户只能在他们的资源上执行操作。说,只有房客1 belongs_to
他/她,房东才能做GET /tenants/1
。Rails:是否可以使用HTTP请求(Devise,protect_from_forgery)更新外键?
在租户控制器我的代码
respond_to do |format|
if @tenant.update_attributes(params[:tenant])
format.html { redirect_to @tenant, notice: 'Tenant was successfully updated.' }
format.json { render json: @tenant }
# else ...
end
以下块的更新操作是否有可能为landlord
在他tenant
更新外键,让tenant
的记录可能移动到其他landlord
的帐户?我使用Devise在应用程序控制器中使用protect_from_forgery
进行身份验证。我可以从浏览器中的HTML页面源提取authenticity_token
,但带有该标记的cURL请求失败 - 警告:无法验证CSRF令牌的真实性。
有没有办法在HTTP请求的记录上伪造外键?我是否需要检查在params散列中传递的外键?
感谢您的建议 - 我喜欢它。 – sakovias
然后你可以给它一个正面的投票,或者选择它作为答案。谢谢。 –
我选择了这个作为答案,但由于我的低调,我无法赞成。干杯! – sakovias