Как разрешить незарегистрированным пользователям доступ к странице с ограниченным доступом только один раз?

Question

У меня есть приложение Rails 3.2, для которого требуется вход пользователя (current_user) для доступа к страницам событий, которые являются субдоменами. Я использую программу для аутентификации.

Есть ли способ разрешить пользователю единовременный доступ к странице событий, если я предоставил прямую ссылку на него? Затем я хотел бы, чтобы у них было предложено войти (или зарегистрироваться), если они попытаются получить доступ к различным страницам событий, или если они уйдут и вернутся в будущем на ту же страницу событий.

Я наблюдал за эпизодом учетной записи гостя на railscasts, но кажется, что пользователь может просто продолжить вход в систему в качестве гостя, не регистрируясь при таком подходе.

Вот мой код события контроллер:

def show 
    @event = Event.find_by_name(request.subdomain) 
    if params[:id].present? 
     @event = Event.find(params[:id]) 
    end 
    # if @event.present? and @event.videos.present? 
     @video = Video.find_by_id(params[:video]) || @event.videos.first 
    # else 
    # @video = @event.videos.first 
    # end 
    # @json = Event.all.to_gmaps4rails 
    if @user = current_user 
    else 
     flash[:alert] = "Please sign in first" 
     redirect_to sign_up_url(:subdomain => false) 
    end 
end 

Спасибо за любую помощь/совет ...

EDIT: Просто чтобы обеспечить более некоторый контекст:

1. Я буду пытаясь водить много пользователей на эту страницу событий каждую неделю, и я не уверен, что возможно/практично жестко выделить отдельные хэши в URL-адреса, если я просто отправлю одну ссылку через социальные сети и электронную почту и т. д.

2. Поскольку пользователи нажмут на эту ссылку и перейдут прямо к рассматриваемой странице, никаких действий не будет создано для создания отдельной гостевой модели, поэтому я думаю, что ответ должен быть основан на сеансе, добавив несколько столбцов в существующей модели пользователя, но при условии, что она используется только один раз для каждого пользователя. Я думаю, может быть, ip-адрес будет работать?

Answer 1

Наиболее пророческим решение создать переменную сеанса для гостевых пользователей, содержащих логическое значение, указывающее, были ли они или не посетили страницу или нет (и, следовательно, для обеспечения доступа, если они не посещали, и наоборот):

# in your controller 
before_filter :check_guest, :only => :show 

private 

def check_guest 
    # if user isn't logged in 
    if current_user.nil? 
    # if user has already viewed, redirect 
    if session[:viewed] == true 
     flash[:alert] = "Please sign in first" 
     redirect_to sign_up_url(:subdomain => false) 
    # if user hasn't viewed, allow access, but flag as having viewed 
    else 
     session[:viewed] = true 
    end 
    end 
end 

Хотя с помощью сессий является де-факто подход к этому конкретному вопросу, существуют пределы его осуществления:

• сессия должна оставаться в силе в порядке гостевой доступ отслеживаться
• конкретного браузера (таким образом, несколько пользователей браузера будут одни и те же сессии)

Answer 2

Вы можете использовать feature_flags камень установить логическое значение:

https://rubygems.org/gems/feature_flags

Answer 3

One вместо привязки переменных сеанса является привязка одноразового хэша с URL-адресом, например:

http://site.com/event?access_id=AKJHDA23fdsank 

Затем, после посещения события, код доступа удаляется. Это потребует управления кодами доступа в базе данных, но имеет дополнительное преимущество - быть надежным.

Вы могли бы просто создать api url для создания этих ссылок, чтобы упростить процесс совместного использования.

Большинство остальных легко обманывается.

Answer 4

Я не знаю заранее подготовленного решения для этого, но его не должно быть слишком сложно реализовать. Я хотел бы сделать что-то вроде:

class GuestPass < ActiveRecord::Base 

    belongs_to :event 

    # the guest_passes table has a `code` column that contains a long arbitrary string token 
end 

class Event < ActiveRecord::Base 

    has_many :guest_passes 

    def authenticate_guest_pass!(token) 
    return false unless token 
    guest_passes.where(code: token).first 
    end 

end 

class EventsController < ActiveRecord::Base 

    before_action :load_event, only: [ :show ] 
    before_action :validate_guest_pass, unless: current_user 

    private 

    def load_event 
    @event = Event.find(params[:id]) 
    end 

    def validate_guest_pass 
    pass = @event.authenticate_guest_pass!(params[:pass]) 
    if pass 
     pass.delete 
    else 
     # redirect to sign in or whatever 
    end 
    end 

end 

Тогда вы просто генерировать GuestPass записи и вставить их в ссылках, вы предоставляете: они будут выглядеть /events/1?pass=xyzzy

(код здесь может использовать некоторые белово я не говорю, что это красиво. Но это первый прогон.)

Answer 5

Это моя слегка измененная версия решения zeantsoi, с дополнительным преимуществом, которое сохраняется, даже если пользователь уходит из своего сеанса браузера.

def check_guest 
    #if user is logged in 
    unless current_user 
    @event = Event.find_by_name(request.subdomain) 
    #if user has already viewed, redirect 
    if @event.guest_ip_address == request.remote_ip 
     flash[:alert] = "Please sign in first" 
     redirect_to sign_up_url(:subdomain => false) 
    #if user hasn't viewed, allow access, but flag as having viewed and store their ip address in the event model so it knows not to show the page again unless current_user 
    else 
     session[:viewed] = request.remote_ip 
     @event.guest_ip_address = session[:viewed] 
     @event.save! 
    end 
    end