基于restful的flask权限管理
为什么需要restful形式的权限管理
最近在写flask应用时使用了 restful 形式的flask.views.MethodView,但是在对其进行权限管理时遇到了一些问题
flask文档上介绍说用
1decorators = []
添加装饰器,但实际使用上,比如
- get 和 post 采用不同的权限
get 不使用 login_required
post 需要 login_required
这样就不能使用 decorators 对视图进行装饰
-
post ,delete, put 都需要 login_required,但是get不需要 而 delete 又需要更高级别的权限,我们可以这样
1class AAA(MethodView): 2 3 def get(self,uid): 4 ... 5 6 @login_required 7 def post(self): 8 ... 9 10 @login_required 11 def put(self,uid): 12 ... 13 14 @login_required 15 @more_required 16 def delete(self,uid): 17 ...
是不是看起来还不错, 但是,如果再加上类似EditBlogPostPermission 这样的权限管理呢? 是不是还需要这样
1@login_required 2def put(self,uid): 3 permission = EditBlogPostPermission(uid) 4 if permission.can(): 5 # Save the edits ... 6 return render_template('edit_post.html') 7 ...
先不论样式丑不丑,最重要的代码的 可维护性 极差,所以我增加了如下代码
怎么实现restful形式的权限管理
同样采用装饰器实现,调用 BasePermission 时会自动调用 call 函数
1class BasePermission(object): 2 3 def __call__(self, func): 4 @wraps(func) 5 def decorator(*args, **kwargs): 6 meth = getattr(self, request.method.lower(), None) 7 if meth is None and request.method == 'HEAD': 8 meth = getattr(self, 'get', None) 9 assert meth is not None, 'Unimplemented method %r' % request.method 10 check = meth(*args, **kwargs) 11 if check: 12 return check 13 else: 14 pass 15 return func(*args, **kwargs) 16 17 return decorator
举个例子,get方式不需要用户登陆,而其它方式需要,并且put方式需要创建主题的作者才能更改
1class TopicPermission(BasePermission): 2 @login_required 3 def post(self): 4 pass 5 6 def get(self, uid): 7 pass 8 9 @login_required 10 def put(self, uid): 11 permission = EditTopicPermission(uid) 12 if not permission.can(): 13 flash('你没有权限') 14 return redirect(url_for('topic.topic', uid=uid)) 15 16 @login_required 17 def delete(self,uid): 18 pass 19 20topic_permission = TopicPermission()
假设四种方式都需要同一种权限,都需要用户登陆,总不能每个函数前都加上装饰器吧 所以稍加修改
1decorators = () 2def __call__(self, func): 3 if self.decorators: 4 for dec in self.decorators: 5 return dec(func)
OK,这样就可以添加
1decorators = [login_required]
来实现四种请求方式采用同一种权限
最后,你就可以在 AAA 这个类里添加
1decorators = [topic_permission]
实现restful形式的权限管理
ok,就这样,可能还不完善或有一些问题,如有问题请联系我
