我想要完全锁定Rails应用程序,使得针对特定用户角色的所有非明确授权的路由都被拒绝(403)。在Rails应用程序中拒绝访客访问
我继承了这个应用程序,所以我对框架的理解很差,但是目前好像我有相反的:一切的开放,除非我明确地将其关闭。
我有一个authorization_rules.rb文件,我已经给客串角色没有权限,但我可以在不登录的还是访问网页。我想我可以在一页一页去,并确保一个页面需要授权(filter_access_to?),但我可能会错过一个。我怎样才能关闭所有东西,然后只在我明确允许的情况下打开访问权限?
这是使用Rails 2.3.5。
你有你的application_controller一个require_user方法?如果你这样做,只是添加的before_filter:require_user,:除了=> [:登录]您的应用程序控制器 – corroded