给 flask_login 中的 login_required 装饰器添加权限判定

基本思路

基本思路是在原来 flask_login 的 login_required 装饰器的基础上，实现一个带参数的装饰器，传进去这个 API 需要验证的权限级别，返回对应的权限级别的装饰器。使用方法如下：

# Menu
@api.route('/')
class Menus(Resource):

    # manager 权限才能新建菜单
    @login_required(authority='manager')
    def post(self):
        pass

    # cook 权限才能获取所有菜单
    @login_required(authority='cook')
    def get(self):
        pass

准备工作

首先 login_required 还是需要用到 flask_login 的 current_user 来获取当前登录的用户，因此首先还是要根据 flask_login 的要求定义好 User 类，并继承 UserMixin 类：

class User(db.Model, UserMixin):  # 继承 db.Model 中操作数据库 CRUD 的类方法

    __tablename__ = 'users'
    
    # 定义表中的属性
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(32), doc='用户名', unique=True)
    password = db.Column(db.String(100), doc='密码', nullable=True)
    authority = db.Column(db.String(32), doc='权限, [customer, manager, cook]', nullable=False)
    register_date = db.Column(db.DateTime, nullable=True)

在这个 User 表中，我们定义了一个 authority 字段，用来表示这个实例的权限。这样在比较权限时，只需要看这个 authority 的值，就可以确定是否有权限访问。

带参数的装饰器

于是我们把需要的 authority 作为一个参数，传给 login_required 的装饰器使用。实现方式可参考 flask_login 中 login_required 的源码，不过这里直接可以用 current_user 的 权限字段进行判断。最终的函数定义如下：

def login_required(authority="ANY"):
    """Custom login required decorator.
    If the method contains {userID_filed_name} args, the decorator would check whether
    the userId is the same as current user's.
    Args:
        authority (str, optional): {ANY, customer, manager, cook} The required role of the user
    Returns:
        function: The desired decorator wrapper.
    """
    def wrapper(func):
        @wraps(func)
        def decorated_view(*args, **kwargs):
            if not current_user.is_authenticated:
                # print(current_user.authority)
                return current_app.login_manager.unauthorized()
            if authority != "customer":
                if authority == 'cook' and current_user.authority == 'customer':
                    return {'message': 'Your authority is not valid.'}, 401
                if authority == 'manager' and current_user.authority != 'manager':
                    return {'message': 'Your authority is not valid.'}, 401

            return func(*args, **kwargs)
        return decorated_view
    return wrapper

其中对权限的等级进行了判断：最低权限是 customer，其次是 cook，manager 拥有最高的权限。

如果权限不足，直接返回错误信息；如果没有登录，返回定义好的信息：

@login_manager.unauthorized_handler
def unauthorized_callback():
    return {'message': 'Login required.'}, 401

更好的方法

这样定义的坏处就是，只有三个 authority 的值是有效的。这样的话就容易出现错误，并且如果权限要更改的话，会在许多地方都需要改动，比较麻烦。

之后更好的解决方法可能：

• login_required 和权限等级的判断分开两个装饰器来写，把是否登录和登录用户权限是否有效。
• 可以尝试使用用 int 类型来代表权限大小。这样的话即使权限的名字改变，也不会影响内部的权限判断。而且直接用 int 定义的话，可以直接进行比较大小来判断权限，更加方便，直观。