在has_many属性上的轨道验证

Question

我有一个Company,User和Department模型。有多个不同的公司，其中每个部门都有has_many。

A User可以属于多个Departments通过UserDepartments连接表。

在我的形式为User，我使用：

<%= f.collection_check_boxes :department_ids, @user.company.departments.all, :id, :name %> 

什么是验证恶意用户没有使用卷曲等发布不属于用户的公司部门标识的最佳实践？

我目前在连接表本身上使用以下内容，但是想知道是否有更好的接受练习？作为一个单独的说明，如果用户确实提交了一个恶意标识，那么rails会显示一个异常页面，而不是通常的带有errors对象的表单呈现页面;这是为什么？

不雅之处的另一个小点是，当您提交用户表单并说5个不同部门选中时，此验证将创建5个SQL查询。据推测，如果用户模型本身进行了验证，则可以使用一个查询来完成。当然，数据完整性是我最关心的问题。

谢谢。

Answer 1

阻止恶意用户蜷缩到服务器的事情是csrf_token，所以Rails正在帮你处理这个问题。这可能是你看到的错误。

我会保持业务逻辑验证正在验证的事情。连接表不是Thing本身;事实上，它没有东西。

所以通过将验证移动到用户，您可以将逻辑保存在一个位置并避免额外的sql。

def ensure_departments_in_company 
    company_department_ids = company.departments.pluck(:id) 
    unless deparment_ids.map { |id| id.in?(company_department_ids) }.all? 
    errors.add(:user, "This department does not match the user's company.") 
    end 
end