在输出的时候，过滤数据就行了。如果实在很简单，自己写两行代码就行了，如果涉及较复杂的权限控制，则可以用 https://github.com/CanCanCommunity/cancancan

#1 楼 @hz_qiuyuanxin 我权限控制已经控制好了。我现在这这种，生成的头像图片地址是固定的，别人还是能直接通过访问地址来看图的。

#2 楼 @jzlikewei 把图片名字 hash 或许可以

#2 楼 @jzlikewei 把图片名字 hash 或许可以

https://github.com/carrierwaveuploader/carrierwave/wiki/How-To%3A-Secure-Upload

要注意 nginx 开启 send-file 功能还要额外配置。

更好的方法是放到云储存，默认私有，token 访问。

#4 楼 @flowerwrong 和图片名称没关系。这样做只是让别人猜不到真实的图片地址，而不是我发给你个图片地址你打开后提示 403，或发你个相册你打开后提示相册时私有的。 #5 楼 @Rei 我研究下，云存储就算了，这个是个外包项目，没必要再增加成本（不过我用了阿里的 mysql 服务器，最低配的有个很大的优惠）

那就不当成静态资源，放在私有目录，然后 controller 里用 send_file 来处理咯

#7 楼 @hhuai send_file 怎么在 view 页面看呢？

#8 楼 @jzlikewei 直接通过地址访问就是了，一样通过 nginx 发，就是在发送前 rails 校验一下权限

给你举个例 view

<%= image_tag("/images/11") %>

controller images.rb

class ImagesController < ApplicationController

def show
    if login
    send_file "/private_dir/images/#{params[:id] }.png"
    else
    raise 404
    end
end
end

差不多就这个意思，将就看下。

cancancan 就够了。

#10 楼 @hhuai 这样算是 override 了 image_tag 这个函数么？

像 3 楼说的，直接换成 hash 名字是最小的成本了。