rails submitボタンからのアクセスを拒否する

投稿にお金がかかるサイトを作成してます。
・普通のユーザーはpaypalAPIを通して投稿する
・定額プランを契約しているユーザーはpaypalを挟まず普通に投稿できる
という仕様です。

viewをuser.planの真偽に応じて条件分岐させてフォームを作っています。

<% if user.plan.exists? %>
 <%= f.button 'イベント作成'　%>
<% else %>
 <div class="paypal_modal_trigger">イベント作成</div>
<% end %>

class="paypal_modal_trigger" のボタンを押すとpaypalの決済ボタンが現れる仕様です。

プラン未契約の場合でもデベロッパーツールを使ってサブミットボタンを偽造できてしまい、そのままpost#createコントローラーを叩けてしまうことが判明しました。

なのでプラン未契約の場合はsubmitボタンからの投稿を拒否できるようにしたいのですがどのような実装をするのがよいのか検討もつきません。。。

丸投げで申し訳ないですがある程度調べたのに何も解決策が見出せずに質問させていただきます。
よろしくお願いします！

2019/03/06 05:56

補足です Paypalの仕様上post#createは使わなければいけません

行動規範の内容に同意します

回答1件

送信を受けたcreateアクションの中で、user.planをチェックして適当でなければforbiddenなどを返して抜けてしまう、という形を取ればいいのではないでしょうか。

投稿2019/03/06 01:14

総合スコア145183

2019/03/06 05:55

解答ありがとうございます！説明不足でしたが、paypalの仕様でcreateアクションを使わなければいけないんです、、

2019/03/06 06:04

createに来てからチェックする、のですから、createアクションは使うままだと思うのですが。

2019/03/06 10:26

Paypalを通してcrateアクションに飛んだ場合はuser.planがなくても投稿できるようにしたいです

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問