基于restful的flask权限管理


为什么需要restful形式的权限管理

最近在写flask应用时使用了 restful 形式的flask.views.MethodView,但是在对其进行权限管理时遇到了一些问题

flask文档上介绍说用

decorators = []

添加装饰器,但实际使用上,比如

  • getpost 采用不同的权限

get 不使用 login_required
post 需要 login_required

这样就不能使用 decorators 对视图进行装饰

  • post ,delete, put 都需要 login_required,但是get不需要 而 delete 又需要更高级别的权限,我们可以这样

    class AAA(MethodView):
    
        def get(self,uid):
            ...
    
        @login_required
        def post(self):
            ...
    
        @login_required
        def put(self,uid):
            ...
    
        @login_required
        @more_required
        def delete(self,uid):
            ...
    

    是不是看起来还不错, 但是,如果再加上类似EditBlogPostPermission 这样的权限管理呢? 是不是还需要这样

    @login_required
    def put(self,uid):
        permission = EditBlogPostPermission(uid)
        if permission.can():
            # Save the edits ...
            return render_template('edit_post.html')
        ...
    

    先不论样式丑不丑,最重要的代码的 可维护性 极差,所以我增加了如下代码

怎么实现restful形式的权限管理

同样采用装饰器实现,调用 BasePermission 时会自动调用 call 函数

class BasePermission(object):

    def __call__(self, func):
        @wraps(func)
        def decorator(*args, **kwargs):
            meth = getattr(self, request.method.lower(), None)
            if meth is None and request.method == 'HEAD':
                meth = getattr(self, 'get', None)
            assert meth is not None, 'Unimplemented method %r' % request.method
            check = meth(*args, **kwargs)
            if check:
                return check
            else:
                pass
            return func(*args, **kwargs)

        return decorator

举个例子,get方式不需要用户登陆,而其它方式需要,并且put方式需要创建主题的作者才能更改

class TopicPermission(BasePermission):
    @login_required
    def post(self):
        pass

    def get(self, uid):
        pass

    @login_required
    def put(self, uid):
        permission = EditTopicPermission(uid)
        if not permission.can():
            flash('你没有权限')
            return redirect(url_for('topic.topic', uid=uid))

    @login_required
    def delete(self,uid):
        pass

topic_permission = TopicPermission()

假设四种方式都需要同一种权限,都需要用户登陆,总不能每个函数前都加上装饰器吧 所以稍加修改

decorators = ()
def __call__(self, func):
    if self.decorators:
        for dec in self.decorators:
            return dec(func)

OK,这样就可以添加

decorators = [login_required]

来实现四种请求方式采用同一种权限

最后,你就可以在 AAA 这个类里添加

decorators = [topic_permission]

实现restful形式的权限管理

ok,就这样,可能还不完善或有一些问题,如有问题请联系我

Author: honmaple

NO CONTENTS

lin.jiang

风落花语风落天,花落风雨花落田.