userがログインしてることが必須の画面において確認の仕方

ruby on railsチュートリアルを終えた程度の初心者です。

railsに限定されない事かもですが、userのログイン確認をどう行うのが一般的か分かりません。

ログインして利用することが前提の場合、

ruby
1class HogeController
2  before_action :logged_in_user
3end

みたいな感じで各アクションの前にログイン済みかどうか確認すると思うのですが

この時、確認に使用するuser_idは、「セッション」から取得して確認するのが一般的でしょうか？

それとも以下のように

ruby
1<%= link_to "予定を登録", new_plan_path(@user) %>

毎回パラメータから渡して、params[:id]で確認するのが一般的でしょうか？

迷って分からなくなってきました。

どちらでも良いのかもしれませんが、統一しなくてはと思い質問しました。

考え方などアドバイスいただけたら幸いです。

初心者につき的外れな質問かもしれませんがどうぞ宜しくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

毎回パラメータから渡して、params[:id]で確認するのが一般的でしょうか？

このような実装はやってはいけません。攻撃者がでたらめなIDを送信することで、第三者のログインとしてなりすますことが可能となってしまいます。

投稿2020/06/19 07:12

総合スコア145730

2020/06/19 07:25

アドバイス有難う御座います。一応本人かどうかのチェックは行っているのですが、安全上良くないですよね。納得しました。同じ考え方で、userのログイン時だけなく、id系は出来る限りパラメータに含めない方がよろしいでしょうか？

2020/06/19 09:22

杓子定規的にid系全てじゃないですね。オークションの商品idなんか問題ないですし。勉強になりました！有難う御座います。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.39%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問