Railsのdevise使用時、deviseユーザが持つデータの更新などのバリデーション

deviseを使ってユーザ認証を行っています。
例えばブログシステムを考えます。ブログシステムでは投稿(Post)やコメント(Comment)といったデータを持ちます。

ユーザがPostを作る時や、編集、削除処理を行う時、そのPostを持っているユーザがこの処理を行っているのか？というバリデーションは行った方が良いのでしょうか？

Postの外部キーからユーザを特定して、そのユーザと処理中のユーザ（ログイン中のユーザ）を比較して、同じであれば、作成・編集・削除処理を実行するのでしょうか？

View側でユーザのログインがなければ、そもそも削除処理など表示しないので、削除は行われませんが、curlコマンド使われた時など、削除は可能だと思います。この時のような為にも、ユーザ認証のバリデーションをかませた方がよいのでしょうか？

すべての操作に上記のような操作を行っていると、少し冗長になってしまうような気がするのですが、皆さんはどのように実装するのでしょう？

行動規範の内容に同意します

回答1件

ログインされているかどうかの判定はauthenticate_userをbefore_actionに指定すれば判定可能です。
リクエストが改ざんされてログイン中ユーザが別のユーザのブログを削除したりしないように
権限チェックは行なっておいた方がいいですね。
共通処理として纏めておけばそれほど冗長にもならないと思います。

投稿2017/01/11 07:24