deviseを使ってユーザ認証を行っています。
例えばブログシステムを考えます。ブログシステムでは投稿(Post)やコメント(Comment)といったデータを持ちます。
ユーザがPostを作る時や、編集、削除処理を行う時、そのPostを持っているユーザがこの処理を行っているのか?というバリデーションは行った方が良いのでしょうか?
Postの外部キーからユーザを特定して、そのユーザと処理中のユーザ(ログイン中のユーザ)を比較して、同じであれば、作成・編集・削除処理を実行するのでしょうか?
View側でユーザのログインがなければ、そもそも削除処理など表示しないので、削除は行われませんが、curlコマンド使われた時など、削除は可能だと思います。この時のような為にも、ユーザ認証のバリデーションをかませた方がよいのでしょうか?
すべての操作に上記のような操作を行っていると、少し冗長になってしまうような気がするのですが、皆さんはどのように実装するのでしょう?
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。