他のユーザーレコードを返すようにURL操作を制限する

Question

私は今、Rails 3を始めました。私は、Rails 3の足場を「ログ」という表で使用して以下のコードを生成しました。

以下の 'index'関数は、（セッションテーブルに格納されたセッションからの）current_user.idに関連付けられたレコードのみを提供します。 3000 /ログ

問題：以下のルートがユーザ= 3（以下インデクスコードを参照）

ローカルホストとしてログインしてユーザー・レコードのみ提示されているユーザとして、私が見ることができます他のレコードを表示するには、手動でURLを編集して、私のレコード（ユーザー= 3である）ではありません、レコード：

はlocalhost：3000 /ログ/ 5

「これはuser.id = 2で入力されました」

解決策を探す：他のユーザーレコードを表示しないように手動でURLをハッキングしないようにするにはどうすればよいですか？

クラスLogsController < ApplicationControllerに

before_filter：新しい機能は以下の作成関数から欠落していることを無視してください

def index 
    @logs = Log.where(:user_id => current_user) 
    respond_to do |format| 
    format.html # index.html.erb 
    format.xml { render :xml => @logs } 
end 

をlogin_required。以下のコードは、単に私が最も簡単な解決策はログインが本当にログインに属して表示する場合はshowメソッドでチェックすることです

def create 
@log = Log.new(params[:log]) 
@log.user_id = current_user.id 
    respond_to do |format| 
    if @log.save 
    format.html { redirect_to(@log)} 
    format.xml { render :xml => @log, :status => :created, :location => @log } 
    else 
    format.html { render :action => "new" } 
    format.xml { render :xml => @log.errors, :status => :unprocessable_entity } 
    end 
end 

Answer 1

「ログ」テーブルにuser_idのを置く方法を示すことですユーザーに：

def show 
    @log = Log.find(params[:id]) 
    unless @log.user_id == current_user.id 
    flash[:error] = "unauthorized" 
    redirect_to :index 
    end 
end 

しかし、あなたはすぐにへのアクセスを制限するいくつかのより多くのものを持つことになりますので、あなたは、宣言的にアクセス権を定義することを可能にする認証プラグインを探す必要があります。多分この1つ：https://github.com/be9/acl9