EditBlogPostNeed添加到标识中。如果我写了超过正常数量的帖子,那么长期来看这不是一个很好的策略,因为我想在访问/posts/<post_id>视图时检查帖子。有没有办法使用Flask Principal在每个请求视图时进行此检查?当然,我可以通过惰性关系查询和过滤轻松解决它,但我想使用Flask Principal。flask-security进行其开箱即用的基于角色的身份验证(仍通过其@roles_accepted('role')装饰器实现)。@app.route('/my_accounts/', methods = ['GET'])
@app.route('/my_accounts/<int:id>/', methods = ['GET'])
@roles_accepted('client')
def my_accounts(id=None):
if id:
account = Account.query.get_or_404(id)
if account.owner == current_user:
return render_template("my_account.html",
title = "Account: {0}".format(account.name),
account = account)
else:
abort(403)
accounts = Account.query.filter_by(owner=current_user).all()
return render_template("my_accounts.html",
title = 'My Accounts',
accounts = accounts)
虽然Flask-Principal是最受欢迎的插件,但它过于复杂,而且在大多数情况下都无法满足我的需求。我一直试图强制它按照我喜欢的方式工作,但从未成功过。幸运的是,我找到了一个非常简单和轻量级的模块 - permission:
首先,您需要通过子类化Rule来定义自己的规则,然后重写check()和deny()方法:
# rules.py
from flask import session, flash, redirect, url_for
from permission import Rule
class UserRule(Rule):
def check(self):
"""Check if there is a user signed in."""
return 'user_id' in session
def deny(self):
"""When no user signed in, redirect to signin page."""
flash('Sign in first.')
return redirect(url_for('signin'))
Permission并覆盖rule()来定义权限:# permissions.py
from permission import Permission
from .rules import UserRule
class UserPermission(Permission):
"""Only signin user has this permission."""
def rule(self):
return UserRule()
有4种方法可以使用上面定义的UserPermission:
1. 作为视图装饰器使用
from .permissions import UserPermission
@app.route('/settings')
@UserPermission()
def settings():
"""User settings page, only accessable for sign-in user."""
return render_template('settings.html')
2. 在视图代码中使用
from .permissions import UserPermission
@app.route('/settions')
def settings():
permission = UserPermission()
if not permission.check()
return permission.deny()
return render_template('settings.html')
3. 在视图代码中使用(使用 with 语句)
from .permissions import UserPermission
@app.route('/settions')
def settings():
with UserPermission():
return render_template('settings.html')
4.在Jinja2模板中使用
首先,您需要将定义的权限注入到模板上下文中:
from . import permissions
@app.context_processor
def inject_vars():
return dict(
permissions=permissions
)
{% if permissions.UserPermission().check() %}
<a href="{{ url_for('new') }}">New</a>
{% endif %}
我不确定完全理解你的问题,但这可能有所帮助。在Flask应用程序中,我使用Flask-Principal进行角色权限控制,例如管理员和编辑器,并且我还将其用于精细的资源保护,如 Flask-Principal文档中所述。在我的情况下,我正在检查用户是否有权限访问特定帐户。在每个视图中,都会加载标识并检查权限。
在视图中:
@login_required
def call_list(id, page=1):
dept = models.Department.query.get_or_404(id)
view_permission = auth.ViewAccountPermission(dept.office.account_id)
if view_permission.can():
# do something
自定义权限:
ViewAccount = namedtuple('View', ['method', 'value'])
ViewAccountNeed = partial(ViewAccount, 'view')
class ViewAccountPermission(Permission):
def __init__(self, account_id):
need = ViewAccountNeed(unicode(account_id))
super(ViewAccountPermission, self).__init__(need)
if hasattr(current_user, 'assigned_accounts'):
for account_id in current_user.assigned_accounts():
identity.provides.add(auth.ViewAccountNeed(unicode(account_id)))
我的回答基于您已经了解了Flask Principal的工作原理以及它如何与数据库集成。
首先,我们只需要在数据库中存储需求, 如果您不知道为什么,我不建议您阅读下面的答案
然后,回到您的问题,我们需要编辑一篇文章,如何进行管控?
@app.route('/article/edit/<id>'):
@Permission(Need('edit', 'article')).require()
def article(id):
pass
用户的身份
id = identity(user.id)
id.provide.add(Need('edit','article'))
用户有编辑文章的权限。@Permission(Need('edit', 'article')).require()将为每篇文章返回true,即使用户不是文章的作者,这是你的问题,对吧?
以下是我解决这个问题的方法
因为默认的Permission.require()没有提供任何参数传递,所以我定义了自己的Permission和IdentityContext,并传入文章ID和文章模型,然后检查文章的user_id是否与Flask登录的current_user.id相匹配。
class MyPermission(Permission):
pass
class MyIdentityContext():
pass