Ruby on rails 在Rails应用程序中限制对图像的访问
我有一个rails项目。在我的项目中,我将图像加载到服务器上(rails 3+回形针+Desive+cancan)。我想限制对文件的访问(例如,原始图像只能由管理员查看)。我该怎么做呢?如果您受到数据库中某个属性的限制,那么一种方法就是通过控制器为图像提供服务。这不是性能最好的,但很安全 我还没有尝试过,但是如果你是从一个像Ruby on rails 在Rails应用程序中限制对图像的访问,ruby-on-rails,ruby-on-rails-3,image,file,role,Ruby On Rails,Ruby On Rails 3,Image,File,Role,我有一个rails项目。在我的项目中,我将图像加载到服务器上(rails 3+回形针+Desive+cancan)。我想限制对文件的访问(例如,原始图像只能由管理员查看)。我该怎么做呢?如果您受到数据库中某个属性的限制,那么一种方法就是通过控制器为图像提供服务。这不是性能最好的,但很安全 我还没有尝试过,但是如果你是从一个像 /images/picture\u of_mickey\u mouse.png 然后,您可以在应用程序中创建一个路由,该路由使用filename属性响应/images,并通
/images/picture\u of_mickey\u mouse.png
然后,您可以在应用程序中创建一个路由,该路由使用filename属性响应/images
,并通过控制器为所有这些图像提供服务
e、 g
class ImagesController[:显示]
def秀
发送_文件“/images/#{params[:filename]}”,:disposition=>“inline”
结束
结束
但是,您需要确保清理参数[:filename]
,否则用户将能够下载服务器上的任何文件
send\u file
上的文档位于此处:使用ActionDispatch::Static
处理文件。IMO最好的解决方案是提供类似的中间件(基于),但带有一些身份验证,并在ActionDispatch::Static
之前插入它。这将与基于Warden的解决方案(如Desive)配合使用,因为它们在中间件中进行身份验证;只需确保您的中间件放在Warden之后,旧的plainActionDispatch::Static
就在它们之后运行
编辑:还有一件事值得注意。在生产中,Nginx(我不确定Apache和其他产品)被配置为自己提供所有静态文件,而不将这些请求传递给机架堆栈,这是很常见的。您可能需要禁用此Nginx功能
class ImagesController < ApplicationController
before_filter :authenticate_admin!, :only => [:show]
def show
send_file "/images/#{params[:filename]}", :disposition => 'inline'
end
end