1、需求
最近的一个flask web项目中需要对不同角色用户的资源做限制和URL的保护,比如后台管理只能是拥有管理员身份的用户才能够访问等。看了Flask-Principal之后感觉可以将权限管理交给它做,下面就是如何将它用到项目中去。
2、Flask-Principal
引用官方文档:
Flask-Principal 提供一个极其松散的框架用于绑定两种类型的服务到 provider 上,通常设置在一个Web应用的不同部分上
1、认证 providers
2、用户信息 providers
主要的组件包括Identity,Needs,Permission,IdentityContext。
Identity代表用户,它就是用户在系统中的标志,包含用户所有的访问权限。
Need是访问控制的最小粒度,表示一个操作权限,Needs中可以包含很多个Need,就是一个用户可以由很多权限。
Permission包含对资源的访问控制。
IdentityContext 针对某一特定身份和某一特定权限的上下文环境。
具体介绍可以参照官方文档:http://pythonhosted.org/Flask-Principal/
3、使用
我们使用角色来控制该用户的权限
举例:我们在用户登录到系统时,给该用户赋予上角色,比如用户A为管理员,登录时将管理员角色赋予A,这样A就可以访问属于管理员的资源了。
我的项目中,使用的第三方拓展都放在extensions.py文件中,同样我们在这个文件中实例化Principal对象。
models.py
class Role(db.Model):
__tablename__ = 'roles'
id = db.Column(db.Integer, primary_key=True)
role_name = db.Column(db.String(30), unique=True, nullable=False)
users= db.relationship('User', secondary="userroles", back_populates='roles')
def __repr__(self):
return self.role_name
class User(db.Model, UserMixin):
__tablename__ = 'users'
id = db.Column(db.Integer(), primary_key=True)
username = db.Column(db.String(30), unique=True, nullable=False)
password = db.Column(db.String, default='123456', nullable=False) # 用户密码 默认为123456
roles = db.relationship('Role', secondary="userroles", back_populates='users')
def check_passwd(self, value):
return value == self.password
def __repr__(self):
return self.username
# 回调函数
@login_manager.user_loader
def load_user(user_id):
return User.query.get(int(user_id))
class UserRole(db.Model):
__tablename__ = 'userroles'
user_id = db.Column(db.Integer, db.ForeignKey('users.id'), primary_key=True, nullable=False)
role_id = db.Column(db.Integer, db.ForeignKey('roles.id'), primary_key=True, nullable=False)
extensions.py
from flask_principal import Principal, Permission, RoleNeed
principals = Principal() # 实例化一个Principal对象
admin_permission = Permission(RoleNeed('admin')) # 表示满足role有admin的用户才能够有权限
我们在create_app函数中为用户添加Need
______init__.py(对于看过Flask web开发的这个文件应该知道我说的是哪一个)
def create_app(object_name):
app = Flask(__name__)
app.config.from_object(object_name)
db.init_app(app)
login_manager.init_app(app)
principals.init_app(app)
@app.route('/')
@login_required
def index():
return redirect(url_for('auth.login'))
@identity_loaded.connect_via(app)
def on_identity_loaded(sender, identity):
# Set the identity user object
identity.user = current_user
# Add the UserNeed to the identity
if hasattr(current_user, 'id'):
identity.provides.add(UserNeed(current_user.id))
# Assuming the User model has a list of roles, update the
# identity with the roles that the user provides
if hasattr(current_user, 'roles'):
for role in current_user.roles:
identity.provides.add(RoleNeed(role.role_name))
from controllers.auth import auth_blueprint
app.register_blueprint(auth_blueprint)
return app
@identity_loaded.connect_via(app)当用户登录系统时,这个装饰器修改的函数会执行来加载用户,为用户添加权限。
login.py
@auth_blueprint.route('/login', methods=['GET', 'POST'])
def login():
form = LoginForm()
if form.validate_on_submit():
user = User.query.filter_by(username=form.user_name.data).first()
if user is not None and user.check_passwd(form.password.data):
login_user(user, form.remember_me.data)
session['user_name'] = user.username
identity_changed.send(current_app._get_current_object(), identity=Identity(user.id))
# 这里登录之后根据用户的角色访问不同的界面
if user.role_id == 1:
return render_template('index.html')
else:
return render_template('user.html')
else:
flash(u"用户名或密码错误")
return render_template('login.html', form=form)
return render_template('login.html', form=form)
identity_changed.send函数就会为已经验证通过的用户赋予管理员角色。
然后可以在管理员的视图函数上使用@admin_permission.require(http_exception=403)来装饰,这样如果想要访问该路由就需要管理员身份。