Added clarifying comments related to security

2016-10-01 08:50:16 +02:00
parent fab190b16c
commit fe2546dbbb
1 changed files with 3 additions and 0 deletions
--- a/app/controllers/graphql_controller.rb
+++ b/app/controllers/graphql_controller.rb
@@ -1,4 +1,7 @@
 class GraphqlController < ApplicationController
+
+  # (!!) Está autorizando todos los resources, no sólo Proposal ¿por qué?
+  # (!!) Nos da acceso a recursos a los que se supone que no tenemos acceso, cómo 'Geozones', ¿por qué?
  authorize_resource :proposal

  def query