Trusted Params 技术文档

1. 安装指南

安装方式

Trusted Params 是一个 Rails 插件，可以通过以下命令将其安装到你的 Rails 应用中：

script/plugin install git://github.com/ryanb/trusted-params.git

注意事项

• 在安装之前，请确保你已经熟悉了 Rails 中的 mass assignment 安全问题，可以通过阅读相关文档和链接来了解。
• 安装完成后，插件会自动禁用 attr_protected，并要求你在每个模型中定义 attr_accessible。

2. 项目的使用说明

基本使用

在使用 Trusted Params 插件时，你必须在每个模型中定义 attr_accessible，以允许 mass assignment。你可以使用 :all 选项来标记所有属性为可访问的。

class Comment < ActiveRecord::Base
  attr_accessible :all
end

然而，只有在确实需要所有属性对公众开放时才应使用 :all 选项。通常情况下，你会希望限制公众可以设置的属性。

class Comment < ActiveRecord::Base
  attr_accessible :author_name, :email, :content
end

管理员权限

管理员应该能够绕过受保护的属性并设置任何内容。这可以通过 trust 方法来实现。

def create
  params[:comment].trust if admin?
  @comment = Comment.new(params[:comment])
  # ...
end

角色权限

你还可以为不同角色标记某些属性为可信的，以便它们可以绕过 mass assignment。

params[:comment].trust(:spam, :important) if moderator?

在这种情况下，只有这些属性将被允许绕过 mass assignment。

3. 项目API使用文档

trust 方法

trust 方法用于绕过 attr_accessible 的保护，允许特定属性或所有属性进行 mass assignment。

方法签名

params[:model].trust(*attributes)

参数

• *attributes：可选参数，指定需要绕过保护的属性名称。如果不传递任何参数，则所有属性都将被绕过。

示例

params[:comment].trust # 绕过所有属性的保护
params[:comment].trust(:spam, :important) # 仅绕过指定属性的保护

attr_accessible

attr_accessible 用于定义哪些属性可以进行 mass assignment。

方法签名

attr_accessible :attribute1, :attribute2, ...

参数

• :attribute1, :attribute2, ...：指定允许进行 mass assignment 的属性名称。

示例

class Comment < ActiveRecord::Base
  attr_accessible :author_name, :email, :content
end

4. 项目安装方式

插件安装

Trusted Params 是一个 Rails 插件，可以通过以下命令安装：

script/plugin install git://github.com/ryanb/trusted-params.git

安装后的配置

安装完成后，插件会自动禁用 attr_protected，并要求你在每个模型中定义 attr_accessible。你可以在模型中使用 :all 选项来标记所有属性为可访问的，或者指定特定的属性。

class Comment < ActiveRecord::Base
  attr_accessible :all # 所有属性都可访问
end

或者

class Comment < ActiveRecord::Base
  attr_accessible :author_name, :email, :content # 仅指定属性可访问
end

通过以上步骤，你可以成功安装并配置 Trusted Params 插件，确保你的 Rails 应用在处理 mass assignment 时更加安全。