RoR:从响应中删除敏感字段

Question

是否有任何方法从默认的ActiveRecord 'all‘、'where’、'find‘生成的结果集中删除敏感字段？

在我用来学习ruby的一个小项目中，我在每个对象中都引用了用户，但出于安全考虑，我不想公开用户的id。当我使用一个简单的HTML响应时，只需不使用它就可以很容易地删除user_id。但是对于某些任务，我想使用如下方式返回json：

def index
  @my_objects = MyObject.all

  respond_to do |format|
    ...
    format.json { render json: @my_objects, ...}
    ...
  end
end

如何防止user_id被列出？是否有任何方法来创建一个删除敏感字段的助手？

Answer 1

您可以使用as_json限制在JSON响应中序列化的属性。

format.json { render json: @my_objects.as_json(only: [:id, :name]), ...}

如果您想使它成为默认的，那么只需重写模型本身中的方法即可。

class MyObject
  def serializable_hash(options = nil)
    super((options || {}).merge(only: [:id, :name]))
  end
end

尽管这种方法是快速有效的，但当应用程序变得足够大时，它就会迅速变得无法维护，因为您的应用程序会有多个模型，并且可能会对同一类型的对象进行不同的序列化。

这就是为什么最好的方法是将序列化委托给序列化器对象。这很容易，但是创建类需要额外的工作。

序列化程序只是一个对象，它返回模型的一个实例，并返回一个JSON准备好的散列。有几个可用的库，或者您可以构建自己的库。