ruby-on-rails – 将安全逻辑与Ruby on Rails中的模型混合使用?
发布时间:2020-12-17 02:50:13 所属栏目:百科 来源:网络整理
导读:混合处理模型中安全逻辑的代码是不好的设计? 在before_save回调中编辑页面的示例 从Controller层中的current_user方法中获取当前用户. 如果current_user.has_permission抛出异常? :edit_page为false editor_id设置为current_user.id 更改记录在单独的表中
|
混合处理模型中安全逻辑的代码是不好的设计?
在before_save回调中编辑页面的示例 >从Controller层中的current_user方法中获取当前用户. 该模型不是应用程序中唯一的安全检查.用户界面在显示编辑视图之前检查权限.该模型可以阻止视图/控制器级别中的任何错误. 注意:模型和控制器级别之间唯一的缺点是current_user方法.我正在处理的应用程序永远不会允许匿名用户. 解决方法
MVC框架中的模型应该完全包含您的所有业务逻辑.在一个设计良好的MVC应用程序中,至少在理论上,您应该能够在不同的上下文中重用模型,而无需重新实现任何业务逻辑.
在每种情况下,我都可以认为授权,输入验证和审计日志记录是非常明确的业务逻辑,因此应该在您的模型中处理. 另一方面,我认为身份验证,加密,加密哈希等不是模型的一部分.安全性的这些方面不是核心业务逻辑的一部分,它们通常是应用程序接口的一部分. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |