【Flask微电影】23.基于角色访问控制-管理员管理和访问权限控制

个人博客,欢迎查看:https://blog.starmeow.cn/

Github地址:https://github.com/xyliurui/FlaskMovie

管理员管理

管理员添加

创建管理员表单

通过表单的字段EqualTo()来验证重复密码是否一致。

from wtforms.validators import DataRequired, ValidationError, EqualTo


class AdminForm(FlaskForm):
    name = StringField(
        label='管理员名称',
        validators=[
            DataRequired('请输入管理员名称!')
        ],
        description='管理员名称',
        render_kw={
            'class': "form-control",
            'placeholder': "请输入管理员名称",
            'required': "required"
        }
    )

    pwd = PasswordField(
        label='管理员密码',
        validators=[
            DataRequired('请输入管理员密码!')
        ],
        description='管理员密码',
        render_kw={
            'class': "form-control",
            'placeholder': "请输入管理员密码",
            'required': "required"
        }
    )
    repwd = PasswordField(
        label='管理员重复密码',
        validators=[
            DataRequired('请输入管理员重复密码!'),
            EqualTo('pwd', message='两次密码不一致')
        ],
        description='管理员重复密码',
        render_kw={
            'class': "form-control",
            'placeholder': "请输入管理员重复密码",
            'required': "required"
        }
    )
    is_super = SelectField(
        label='星级',
        validators=[
            DataRequired('请选择星级!')
        ],
        description='星级',
        coerce=int,
        choices=[(1, '普通管理员'), (0, '超级管理员')],
        render_kw={
            'class': "form-control"
        }
    )
    role_id = SelectField(
        label='所属角色',
        validators=[
            DataRequired('请选择所属角色!')
        ],
        coerce=int,
        # choices=[(role.id, role.name) for role in Role.query.all()],
        description='所属角色',
        render_kw={
            'class': "form-control"
        }
    )

    def __init__(self, *args, **kwargs):
        super(AdminForm, self).__init__(*args, **kwargs)
        self.role_id.choices = [(v.id, v.name) for v in Role.query.all()]

    submit = SubmitField(
        label='提交',
        render_kw={
            'class': "btn btn-primary"
        }
    )

修改admin_add管理员添加视图

@admin.route("/admin/add/", methods=['GET', 'POST'])
@admin_login_require
def admin_add():
    form = AdminForm(is_super=1)
    from werkzeug.security import generate_password_hash
    print(form.data)
    if form.validate_on_submit():
        data = form.data
        if Admin.query.filter_by(name=data['name']).count() == 1:
            flash('管理员已存在!', category='err')
            return redirect(url_for('admin.admin_add'))
        add_admin = Admin(
            name=data['name'],
            pwd=generate_password_hash(data['pwd']),
            role_id=data['role_id'],
            is_super=1
        )
        db.session.add(add_admin)
        db.session.commit()
        flash('管理员添加成功', category='ok')
    return render_template('admin/admin_edit.html', form=form)

修改admin_edit.html添加管理员模板

{% include 'admin/alert_info.html' %}
{{ form.name }} {% for err in form.name.errors %}
{{ err }}
{% endfor %}
{{ form.pwd }} {% for err in form.pwd.errors %}
{{ err }}
{% endfor %}
{{ form.repwd }} {% for err in form.repwd.errors %}
{{ err }}
{% endfor %}
{{ form.role_id }} {% for err in form.role_id.errors %}
{{ err }}
{% endfor %}
{{ form.csrf_token }}
【Flask微电影】23.基于角色访问控制-管理员管理和访问权限控制_第1张图片
image.png
【Flask微电影】23.基于角色访问控制-管理员管理和访问权限控制_第2张图片
image.png
【Flask微电影】23.基于角色访问控制-管理员管理和访问权限控制_第3张图片
image.png

管理员列表

修改admin_list管理员列表视图

@admin.route("/admin/list/")
@admin_login_require
def admin_list(page=None):
    if not page:
        page = 1
    page_admins = Admin.query.order_by(
        Admin.add_time.desc()
    ).join(
        Role
    ).filter(
        Role.id == Admin.role_id  # 关联查询
    ).paginate(page=page, per_page=10)
    return render_template('admin/admin_list.html', page_admins=page_admins)

修改admin_list.html管理员列表模板

{% include 'admin/alert_info.html' %} {% for admin in page_admins.items %} {% endfor %}
编号 管理员名称 管理员类型 管理员角色 添加时间
{{ admin.id }} {{ admin.name }} {% if admin.is_super == 0 %}超级管理员{% else %}普通管理员{% endif %} {{ admin.role.name }} {{ admin.add_time }}1
【Flask微电影】23.基于角色访问控制-管理员管理和访问权限控制_第4张图片
image.png

访问权限控制

在views.py中编写权限验证装饰器

# 权限控制装饰器
def permission_control(func):
    @wraps(func)
    def decorated_function(*args, **kwargs):
        login_admin = Admin.query.join(
            Role
        ) .filter(
            Role.id == Admin.role_id,
            Admin.name == session['login_admin']
        ).first()

        all_auth = Auth.query.all()  # 数据库所有权限

        auths = login_admin.role.auths
        auths = list(map(lambda item: int(item), auths.split(',')))  # 用户权限id列表
        urls = [auth.url for auth in all_auth for admin_auth_id in auths if admin_auth_id == auth.id]

        print(urls)
        rule = request.url_rule
        print(rule)  # 需要转为str判断是否在list中
        if str(rule) not in urls and login_admin.is_super != 0:  # 权限不存在,且不是超级管理员
            abort(401)
        return func(*args, **kwargs)
    return decorated_function

在各个视图中添加装饰

例如:

@admin.route("/")
@admin_login_require
@permission_control
def index():
    # ....


@admin.route("/tag/add/", methods=['GET', 'POST'])
@admin_login_require
@permission_control
def tag_add():
    # ....

创建无权访问提示

创建401视图

app/__init__.py中添加以下视图和404的视图在一个文件中

# 添加全局401无权限页面
@app.errorhandler(401)
def unauthorized_access(error):
    return render_template('401.html'), 401

创建401模板

这儿就没什么样式,随意了

{% extends 'admin/base.html' %}

{% block content %}

无权访问{{ request.path }}

{% endblock %}

当访问无权限的url时,会进行提示

【Flask微电影】23.基于角色访问控制-管理员管理和访问权限控制_第5张图片
image.png

你可能感兴趣的:(【Flask微电影】23.基于角色访问控制-管理员管理和访问权限控制)