设为首页收藏本站
开启辅助访问

给 flask

 您所在的位置:网站首页 flask login登录用户权限管理员 给 flask

给 flask

2023-06-08 00:20| 来源: 网络整理| 查看: 265

基本思路

基本思路是在原来 flask_login 的 login_required 装饰器的基础上,实现一个带参数的装饰器,传进去这个 API 需要验证的权限级别,返回对应的权限级别的装饰器。使用方法如下:

# Menu @api.route('/') class Menus(Resource): # manager 权限才能新建菜单 @login_required(authority='manager') def post(self): pass # cook 权限才能获取所有菜单 @login_required(authority='cook') def get(self): pass 准备工作

首先 login_required 还是需要用到 flask_login 的 current_user 来获取当前登录的用户,因此首先还是要根据 flask_login 的要求定义好 User 类,并继承 UserMixin 类:

class User(db.Model, UserMixin): # 继承 db.Model 中操作数据库 CRUD 的类方法 __tablename__ = 'users' # 定义表中的属性 id = db.Column(db.Integer, primary_key=True) username = db.Column(db.String(32), doc='用户名', unique=True) password = db.Column(db.String(100), doc='密码', nullable=True) authority = db.Column(db.String(32), doc='权限, [customer, manager, cook]', nullable=False) register_date = db.Column(db.DateTime, nullable=True)

在这个 User 表中,我们定义了一个 authority 字段,用来表示这个实例的权限。这样在比较权限时,只需要看这个 authority 的值,就可以确定是否有权限访问。

带参数的装饰器

于是我们把需要的 authority 作为一个参数,传给 login_required 的装饰器使用。实现方式可参考 flask_login 中 login_required 的源码,不过这里直接可以用 current_user 的 权限字段进行判断。最终的函数定义如下:

def login_required(authority="ANY"): """Custom login required decorator. If the method contains {userID_filed_name} args, the decorator would check whether the userId is the same as current user's. Args: authority (str, optional): {ANY, customer, manager, cook} The required role of the user Returns: function: The desired decorator wrapper. """ def wrapper(func): @wraps(func) def decorated_view(*args, **kwargs): if not current_user.is_authenticated: # print(current_user.authority) return current_app.login_manager.unauthorized() if authority != "customer": if authority == 'cook' and current_user.authority == 'customer': return {'message': 'Your authority is not valid.'}, 401 if authority == 'manager' and current_user.authority != 'manager': return {'message': 'Your authority is not valid.'}, 401 return func(*args, **kwargs) return decorated_view return wrapper

其中对权限的等级进行了判断:最低权限是 customer,其次是 cook,manager 拥有最高的权限。

如果权限不足,直接返回错误信息;如果没有登录,返回定义好的信息:

@login_manager.unauthorized_handler def unauthorized_callback(): return {'message': 'Login required.'}, 401 更好的方法

这样定义的坏处就是,只有三个 authority 的值是有效的。这样的话就容易出现错误,并且如果权限要更改的话,会在许多地方都需要改动,比较麻烦。

之后更好的解决方法可能:

login_required 和权限等级的判断分开两个装饰器来写,把是否登录和登录用户权限是否有效。 可以尝试使用用 int 类型来代表权限大小。这样的话即使权限的名字改变,也不会影响内部的权限判断。而且直接用 int 定义的话,可以直接进行比较大小来判断权限,更加方便,直观。


【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3