Gibt es zufällig einen Überblick über die Vielzahl an Plugins/Gems, die es für die Anmeldung (AuthC) und Rechteprüfung (AuthZ) von Benutzern gibt? Alternativ nehme ich auch Meinungen.
Der Klassiker für Authentication ist vermutlich nach wie vor Restful Authentication (bzw. Acts As Authenticated), das vermutlich inzwischen durch Rack-Middleware für OAuth und OpenID ergänzt wird. AuthLogic könnte sich, nur den Features nach geurteilt, als Nachfolger von RA etablieren. Für Authorization gab es, wenn ich das richtig überblicke, nie ein dominantes System, statt dessen eine umso größere unübersichtliche Auswahl an Plugins, Gems und wahrscheinlich vielen Eigenimplementierungen für die jeweiligen Bedürfnisse. Eine kleinen, aber nicht mehr aktuellen Überblick gibt es auf http://www.vaporbase.com/postings/Authorization_in_Rails Meine Erfahrung ist, dass Systeme, die dazu zwingen, an vielen Stellen zu prüfen, ob der Benutzer eine bestimmte Rolle hat, sehr schnell unübersichtlich werden. In Controllern und Views sollten nur spezifische(!) Rechte abgefragt werden, die zentral zu Rollen gebündelt werden. Die übliche Praxis, zu prüfen, ob der Benutzer Admin ist (oder "Adminrechte" hat) oder diese oder jene Rolle inne hat, führt nur dazu, dass die eigentlichen Entscheidungen darüber, wer was darf, über das ganze System verstreut werden. Dadurch ist kaum nachvollziehbar, welche Rechte ein bestimmter Benutzer tatsächlich hat. Michael -- Michael Schuerig mailto:[email protected] http://www.schuerig.de/michael/ _______________________________________________ rubyonrails-ug mailing list [email protected] http://mailman.headflash.com/listinfo/rubyonrails-ug
