rails4 9 Security

9.1 Basic Authentication

基本认证

如果你想要在线发布你的blog,任何人都能够增加,编辑和删除articles,或者删除comments。

 

Rails提供了一个简易的HTTP验证系统,在这种情况下能足以胜任。

 

在ArticlesController里,我们需要用一个方式来阻止访问任意的actions,如果访问者没有被认证的,这儿我们可以用Rails http_basic_authenticate_with 方法,如果在那个方法允许的情况下, 来允许访问所需求的action。

 

为了使用这个认证系统,我们明确规定它位于ArticlesController的顶部,在这个例子中,我们需要用户对于每一个action都要被认证,除了index和show,因此我们来编辑这个文件 app/controllers/articles_controller.rb:

classArticlesController < ApplicationController

 

  http_basic_authenticate_with name: "dhh", password: "secret", except: [:index, :show]

 

  defindex

    @articles= Article.all

  end

 

  # snipped for brevity

我们同样地只允许认证的用户来删除comments,因此在CommentsController中来编辑文件 app/controllers/comments_controller.rb

classCommentsController < ApplicationController

 

  http_basic_authenticate_with name: "dhh", password: "secret", only: :destroy

 

  defcreate

    @article= Article.find(params[:article_id])

    ...

  end

 

  # snipped for brevity

现在你想要创建一个新的article,你将会受到一个基本HTTP认证的挑战

 

对于Rails应用程序,其他的认证方法也是可用的。在Rails中有两个比较流行的认证插件是  Devise rails engine 和 Authlogic gem, 以及还有一些其他的。


rails4 9 Security_第1张图片
 

 

original text: http://guides.rubyonrails.org/getting_started.html#security

你可能感兴趣的:(Ruby,Rails)