Rails中属性的基于角色的安全机制

我正在寻找一个插件，提供基于角色的授权机制来保护对属性的读/写访问。我沿着declarative_authorization的行描述了模型对象的白名单属性。我花了一些时间四处看看，但总结出来，没有人知道任何事情吗？Rails中属性的基于角色的安全机制

编辑：我使用declarative_authorization来控制哪些用户有权访问控制器中的哪些操作，但我需要类似的东西来提供对每个模型对象的属性的访问控制。我试图通过Web API或用户制作恶意帖子来防止信息泄露。我可以通过mass_assignment_authorizer来做到这一点，但我希望有一些插件已经做到了。

来源

2011-03-22 MrEvil

也许康康舞，不知道它是否支持安全的读/写 – 2011-03-22 06:42:57

有轨授权的插件在这里的老名单：http://steffenbartsch.com/blog/2008/08/rails-authorization -plugins /。请注意，它没有列出cancan，但根据您的帖子，它看起来像您希望在模型级别的安全性，据我所知cancan可能不支持。 – plang 2011-03-22 06:59:08

[保护敏感属性w/declarative_authorization]可能的重复（http://stackoverflow.com/questions/5269333/protect-sensitive-attributes-w-declarative-authorization） – MrEvil 2011-03-29 18:20:46

如何为每个控制器创建模型/控制器对，然后让每个角色只能访问其控制器中的方法？然后，您可以在每个控制器中创建一个before_filter，以确保每个用户都有权使用该控制器中的方法。

来源

2011-03-22 07:28:26 fengolly

+1 @charlie - 开始为你的好主意基于自己的权限控制系统。 – Surya 2011-03-22 10:00:17

惭惭科2.0

https://github.com/ryanb/cancan/tree/2.0

编辑：

惭惭的持续被称为CanCanCan。

见https://github.com/bryanrite/cancancan

来源

2011-11-19 20:33:25 jrhicks

它看起来正是我想要的，但是这个项目大部分都是死的。 – MrEvil 2012-05-07 15:31:23

好或坏，我们正在生产中使用它 – jrhicks 2012-05-09 16:00:29

Rails中属性的基于角色的安全机制

回答

相关问题