为什么需要restful形式的权限管理
最近在写flask应用时使用了 restful 形式的flask.views.MethodView,但是在对其进行权限管理时遇到了一些问题
flask文档上介绍说用
decorators = []
添加装饰器,但实际使用上,比如
- get 和 post 采用不同的权限
get 不使用 login_required
post 需要 login_required
这样就不能使用 decorators 对视图进行装饰
post ,delete, put 都需要 login_required,但是get不需要 而 delete 又需要更高级别的权限,我们可以这样
class AAA(MethodView): def get(self,uid): ... @login_required def post(self): ... @login_required def put(self,uid): ... @login_required @more_required def delete(self,uid): ...是不是看起来还不错, 但是,如果再加上类似EditBlogPostPermission 这样的权限管理呢? 是不是还需要这样
@login_required def put(self,uid): permission = EditBlogPostPermission(uid) if permission.can(): # Save the edits ... return render_template('edit_post.html') ...先不论样式丑不丑,最重要的代码的 可维护性 极差,所以我增加了如下代码
怎么实现restful形式的权限管理
同样采用装饰器实现,调用 BasePermission 时会自动调用 call 函数
class BasePermission(object):
def __call__(self, func):
@wraps(func)
def decorator(*args, **kwargs):
meth = getattr(self, request.method.lower(), None)
if meth is None and request.method == 'HEAD':
meth = getattr(self, 'get', None)
assert meth is not None, 'Unimplemented method %r' % request.method
check = meth(*args, **kwargs)
if check:
return check
else:
pass
return func(*args, **kwargs)
return decorator
举个例子,get方式不需要用户登陆,而其它方式需要,并且put方式需要创建主题的作者才能更改
class TopicPermission(BasePermission):
@login_required
def post(self):
pass
def get(self, uid):
pass
@login_required
def put(self, uid):
permission = EditTopicPermission(uid)
if not permission.can():
flash('你没有权限')
return redirect(url_for('topic.topic', uid=uid))
@login_required
def delete(self,uid):
pass
topic_permission = TopicPermission()
假设四种方式都需要同一种权限,都需要用户登陆,总不能每个函数前都加上装饰器吧 所以稍加修改
decorators = ()
def __call__(self, func):
if self.decorators:
for dec in self.decorators:
return dec(func)
OK,这样就可以添加
decorators = [login_required]
来实现四种请求方式采用同一种权限
最后,你就可以在 AAA 这个类里添加
decorators = [topic_permission]
实现restful形式的权限管理
ok,就这样,可能还不完善或有一些问题,如有问题请联系我
知识共享署名-非商业性使用-相同方式共享4.0国际许可协议
