解决，锁帖

#19 楼 @Rei 多谢回答。

我现在做法是需要登陆的 都在 before_filter 加上，保证登陆 ACTION 里的@user变量是 OK 的。

主要修改在两个地方 (觉得这样改动最小了。。) 1）不需要登陆和登陆的函数里，代码整理成两部分，在做登陆逻辑前插个判断是否登陆，如果没有就直接返回了。 2）对应的 erb 文件里做一些调整显示

再次谢谢大家

#16 楼 @help5305fff 第一次做 WEB，经验不足，，还请海涵

既然 before_filter 已经被弱化，为什么还要写两个 before_filter? 直接

def find_user
  if !session[:user_id]
      return
  end

  @user = User.find_by_id(session[:user_id])
  if !@user
      redirect_to(:controller=>"welcome",:action => "index")
  end
end  

然后在具体的 ACTION 函数里，判断

  def common_event_content
    #公共部分
    @event_id = params[:id]
    @event_contents = CommonEventContent.where(["event_id=?", @event_id]).order('id desc').page(params[:page]).per(10)  

    if !@user
        return
    end     
    #需要登陆部分
end

#14 楼 @help5305fff #13 楼 @cxh116 #11 楼 @zzhattzzh 先谢谢大家。 如果两个 before_filter，是不是相当 before_filter 权限被弱化了？

比如以前这些 ACTION 只有登陆才能用，直接在 before_filter 里寻找 USER，如果没有就回首页，这样 before_filter 起到一个权限判断作用；

现在这些 ACTION 登陆和不登陆都可以做，那具体的权限只能到具体的 ACTION 函数里面判断。比如在 ACTION 里取到@user 信息做一些判断什么的。现在则要在 ACTION 里面判断是否有这个@user ，然后做对应的事情。

#6 楼 @help5305fff 不登陆是说，他可以浏览这个页面内容；如果他登陆了，这个页面就要显示他的用户信息，还可以发帖什么的。所以有个 before_filter 里的 find_user。

#4 楼 @cxh116 你好，你说的这些我知道。这些是设计上的规范，但是现在问题是：一些页面登陆或者不登陆都可以看到，这些 ACTION 权限怎么在 before_filter 区分开来？

#3 楼 @help5305fff 问题是有些是登陆和不登陆都可以的，放哪儿？写两份吗？

#1 楼 @iBachue 没听明白。我觉得最简单是在 find_user 里面能判断来源的 ACTION 是什么，如果是不需要登录的 ACTION，就直接过。

#6 楼 @uudui 谢谢

#3 楼 @uudui

可以取到了。谢谢。。还有个额外的问题请教，比如在 rails 里面有个表单一般都这样写 <%= form_for @user, :url => { :controller => 'admin', :action => 'ok_verify'} do |f| %>

会带个 model@user 进去，那现在不要这个 model 要咋写？

#3 楼 @uudui 我试试，先谢谢

#1 楼 @uudui 你好，:tag_ids 这个前台要通过什么方式赋值进去？？

#11 楼 @chinacheng 主要是有个字段被虚拟了。。见我 10 楼回复

#9 楼 @Rei 是这样： 用了 gem 'bcrypt-ruby'，在数据库里是 passward_digest 这个字段保存加密后的密码。

代码里， password_field :password password_field :password_confirmation 这两个用来确认密码是否一致

在 model 里， #密码 (password) validates_presence_of :password, :on => :create, :message => "密码不能为空" validates_length_of :password, :on => :create, :in => 6..15, :message => "密码长度在 6-15"

has_secure_password #确认两次是否一样 validates_presence_of :password,:on => :create, :message => "两次输入密码不一致"

可能就是你在前几楼说的，password 内部不让为空了。

#6 楼 @Rei 应该是这个问题，我现在设置了 :on => :create .那要是哪天有密码重新设置功能了，那这步校验不是又错过了。。 #4 楼 @chinacheng

#3 楼 @hooopo #4 楼 @chinacheng

我有用了 gem 'bcrypt-ruby' 这个包，password 是个虚拟的字段，数据库里对的是 passward_digest.. 但是我没更新密码这个字段啊？？

#1 楼 @hooopo 晕，他为什么提示密码字段不能为空？？我没更新那个字段呀

可以啊，直接放到 assets 中就能用了。

#1 楼 @Rei 晕，有个 s ..试了 下，有校验，多谢

#1 楼 @Rei 在比如一些密码重置，默认都是在校验里亚。。

#1 楼 @Rei 那就是在 callback 里面自己做防止注入之类的了？？但是占位符很好用啊，也很好的防止注入。。

#2 楼 @ywencn 为什么不叫？非得 NGIX 什么的掺和进来才叫？

应该是 IP 解析问题。。

#1 楼 @hhuai 改成小写还是一样

#1 楼 @hhuai 可以啊，只要和 joins 匹配就行了吧？

#1 楼 @AlphaLiu 多谢。。刚在瞎试试出来了。。

提示没这个变量。。

#1 楼 @clearJiang

另存为无 bom 头的 utf-8，可以了。。不过这回是 chrome 出问题了。。多谢

#1 楼 @heliang7 多谢。。虽然不知道为什么，只是觉得 RUBY 对上下文看得很重。