Flask-Principal权限控制

已于 2022-10-10 12:50:04 修改
阅读量1.2k 收藏 4
点赞数 1
分类专栏: Flask框架 文章标签: flask
于 2021-09-18 18:27:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41341757/article/details/120372286
版权
本文介绍 Flask-Principal 扩展的使用方法,包括管理员权限限制、用户登录退出时的身份转换、权限加载器的定义及资源保护的实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

  • 官方地址:https://pythonhosted.org/Flask-Principal/
  • 学习的步骤: 先学会如何使用,再学会深层原理,而不是上来直接分析原理,因为你分析不明白。
  • 该框架干啥的:权限控制
  • 安装:pip install flask-principal

一: Flask-Principal的使用

1.1: 管理员用户才能访问:

  • 定义一个权限,然后在需要进行权限控制的地方使用装饰器进行装饰就可以了。

  • 如果是一个视图中的部分代码逻辑,需要权限才能执行,那么使用上下文进行管理。

    from  flask  import  Flask ,  Response 
from  flask.ext.principal  import  Principal ,  Permission ,  RoleNeed

app  =  Flask ( __name__ )

# 加载扩展
principals  =  Principal ( app )

# 创建具有单个需求的权限,在本例中为 RoleNeed。
admin_permission  =  Permission ( RoleNeed ( 'admin' ))

# 使用需要的主体保护视图
@app.route ( '/admin' ) 
@admin_permission.require () 
def  do_admin_index (): 
    return  Response ( 'Only if you are an admin' )

# 这次用上下文管理器保护
@app.route ( '/articles' ) 
def  do_articles (): 
    with  admin_permission.require (): 
        return  Response ( 'Only if you are admin' )

1.2: 登录退出时身份转换:

  • 当用户登录的时候和退出登录的时候,用户是需要进行身份转换的。那么如何处理呢?

  • 用户登录的时候,使用send函数发送消息给当前项目,表示身份发生了转变。

    @app.route('/login', methods=['GET', 'POST'])
def login():
    # A hypothetical login form that uses Flask-WTF
    form = LoginForm()

    # Validate form input
    if form.validate_on_submit():
        # Retrieve the user from the hypothetical datastore
        user = datastore.find_user(email=form.email.data)

        # Compare passwords (use password hashing production)
        if form.password.data == user.password:
            # Keep the user info in the session using Flask-Login
            login_user(user)

            # 身份发生改变,向程序发送
            identity_changed.send(current_app._get_current_object(),
                                  identity=Identity(user.id))

            return redirect(request.args.get('next') or '/')

    return render_template('login.html', form=form)

  • 当用户退出登录的时候,将身份转变成匿名用户:

    @app.route('/logout')
@login_required
def logout():
    # Remove the user information from the session
    logout_user()

    # Remove session keys set by Flask-Principal
    for key in ('identity.name', 'identity.auth_type'):
        session.pop(key, None)

    # 身份进行转变,变成匿名用户。
    identity_changed.send(current_app._get_current_object(),
                          identity=AnonymousIdentity())

    return redirect(request.args.get('next') or '/')

1.3: 权限加载器:

  • 整个项目中必须有一个给当前的用户增加权限的函数,而这个函数我们成为权限加载器。

  • 函数名一般来说固定: on_identity_loaded,这个函数必须使用@identity_loaded.connect_via(app)装饰器装饰。

    from flask.ext.login import current_user
from flask.ext.principal import identity_loaded, RoleNeed, UserNeed

@identity_loaded.connect_via(app)
def on_identity_loaded(sender, identity):
    # 1:首先拿到当前的用户对象
    identity.user = current_user

    # 2:增加当前用户拥有的权限
    if hasattr(current_user, 'id'):
        identity.provides.add(UserNeed(current_user.id))

    # 3:如果user中存在一个字段roles表示该用户还拥有的角色(一对多),那么我们可以循环遍历这个角色,将角色加入到身份中去,这样用户就拥有了多种权限。
    if hasattr(current_user, 'roles'):
        for role in current_user.roles:
            identity.provides.add(RoleNeed(role.name))

1.4: 资源保护:

  • 需求: 假如时一个博客系统,现在要求,只有作者才能编辑博客。

  • 如何实现?

    • 1: 首先,从表的存储上来讲,user表必须对应着一个posts表(posts权限表), 并且是一对多的关系。(一个user有多个post权限)
    • 2: 当用户登录的时候,我们根据user,拿到所有的post,将这些post加入到当前用户的权限中。(用户有了这些权限)
    • 3: 在进行编辑的时候,前端发送需要传递一个post_id,根据这个post_id构造一个权限。调用permission.can()执行看看这个权限当前用户是否存在,如果存在则进行视图中的逻辑处理。

  • 具体实现:

    • 1: 构造生成权限的类:

      from collections import namedtuple
from functools import partial

from flask.ext.login import current_user
from flask.ext.principal import identity_loaded, Permission, RoleNeed, \
     UserNeed

BlogPostNeed = namedtuple('blog_post', ['method', 'value'])
EditBlogPostNeed = partial(BlogPostNeed, 'edit')

class EditBlogPostPermission(Permission):
    def __init__(self, post_id):
        need = EditBlogPostNeed(unicode(post_id))
        super(EditBlogPostPermission, self).__init__(need)

    • 2: 登录的时候,给当前用户赋予权限:

      @identity_loaded.connect_via(app)
def on_identity_loaded(sender, identity):
	...
    # Assuming the User model has a list of posts the user
    # has authored, add the needs to the identity
    if hasattr(current_user, 'posts'):
        for post in current_user.posts:
            identity.provides.add(EditBlogPostNeed(unicode(post.id)))

    • 3: 视图逻辑校验的时候,看前端视图需要的权限,该用户是否存在,存在,执行逻辑处理,不存在则抛出403权限异常。

      @app.route('/posts/<post_id>', methods=['PUT', 'PATCH'])
def edit_post(post_id):
    permission = EditBlogPostPermission(post_id)

    if permission.can():
        return render_template('edit_post.html')

    abort(403)  # HTTP Forbidden

二: 原理分析:

2.1: flask_principal四大主件:

  • 1: Identity(身份): 一个用户对应一个身份,一个身份有众多的权限。
  • 2: Permission(权限): 满足某种需求的能力。
  • 3: Needs(访问控制单元) : 分为两类: 角色需求(管理员,超级管理员),动作需求(可以编辑,可以上传图片)
  • 4: IdentityContext(权限上下文) : 有关权限的装饰器(权限处理)和上下文管理器(权限控制)。
"""
白话讲解: 
1:身份是个啥? 来一个人,我就给你发个牌子,代表你的身份。
2:权限是个啥? 一个是表示你职位(职位能做的都能做),一个代表你还能干啥(例如:领导单独给你的权力)。
3:访问控制单元是个啥?职位对应能做的事,单独权力能做的事。
4:权限上下文是个啥?你这个身份咋就有了权限(装饰器控制),咋判断有没有权限(装饰器或者上下文管理器),这些权限上下文处理了,作为码农的我们就不要考虑了。
"""
  • 官方图解:

在这里插入图片描述

flask权限管理
weixin_43829548的博客
05-02 2619
用户角色 角色分为游客、普通用户、协管员、管理员 用户权限 用户在权限范围内做访问指定页面、增删查改等数据操作权限 数据库的角色和权限 权限表 权限 位值 说明 关注用户 0b0000001(0x01) 关注其他用户 在他人文章中发表评论 0b0000010(0x02) 在他人撰写文章中发布评论 写文章 0b0000100(0x04) 写原创文章 管理他人发表的评论 0...
Flask权限篇flask_principal
热门推荐
luckway的博客
07-26 1万+
最近写CMDB的时候遇到了一个问题,那就是flask的权限问题,目前我了解到的Flask有3种方案进行权限管理的操作, Flask狗书中的十六进制的权限值来实现 Flask-Security Flask Principal先跳过第一种,可能纯属是我技术的原因吧,我觉得有轮子不用反复造的想法,所以就跳过了第一种选择了后面2种框架的,其实Flask也是坑,flask_principal的作者已经不更新了
Flask-权限管理扩展:轻松实现权限控制
gitblog_00070的博客
06-16 776
Flask-权限管理扩展:轻松实现权限控制 项目地址:https://gitcode.com/gh_mirrors/fl/flask-permissions 项目介绍 Flask-Permissions 是一个为 Flask 应用量身定制的权限扩展库,与 Flask-SQLAlchemy 集成良好,并可与 Flask-Login 搭配使用(但并非必需)。这个轻量级的框架使得在 Flask 中实现用...
Flask(七)用户认证与权限管理
最新发布
网络风云的博客
03-28 1万+
在 Web 应用中,用户认证(Authentication)和权限管理(Authorization)是至关重要的功能。Flask 提供了多种方式来实现用户身份验证,包括。Flask-Login 提供 @login_required 装饰器,限制未登录用户访问特定页面。下一章将介绍 Flask 的异步任务与后台处理。进行 API 认证。
flask 实现接口权限管理
judahwang的博客
05-06 659
【代码】flask 实现接口权限管理
Flask 用户权限控制问题
NXNSSSSS的博客
12-16 2126
Flask 用户权限控制
Flask框架Flask-Principal基本用法实例分析
09-20
Flask-PrincipalFlask微框架的一个扩展,它提供了身份认证(Identity)、需求(Needs)、权限(Permissions)以及身份上下文(IdentityContext)的概念,帮助开发者实现更复杂的访问控制。这个扩展使得在Flask应用...
Flask-principal-example:了解烧瓶原理
05-24
`Flask-Principal` 提供了这些功能,允许我们定义用户的角色和权限,并基于这些定义进行访问控制。 **工作原理** 1. **身份认证(Identity)**:首先,我们需要识别用户的身份。这通常通过登录过程完成,其中用户...
Flask-Principal的基本使用
奔跑的豆子的专栏
08-23 5201
Flask-PrincipalFlask框架的一个扩展,主要主件是Identity,Needs,Permission和IdentityContext。 Identity:代表用户,从各个位置存储和加载每个请求,包含用户拥有的访问权限。 Needs:需求是访问控制的最小粒度,代表了这种情况的具体参数。例如:管理用户、可以编辑帖子. Permission:权限 IdentityContext:针对某个
flask-principal: Python身份权限管理详解
使用Flask-principal可以帮助开发者实现复杂的权限控制逻辑,同时也使得维护用户权限变得更为简洁。" 知识点详细说明: 1. Flask框架简介: Flask是一个用Python编写的轻量级Web应用框架,遵循Werkzeug WSGI工具...
flask权限管理
weixin_33816611的博客
02-02 666
基本的flask权限管理 1. 验证字段与密码的存储 权限管理的基础就是验证字段(用户名or邮箱...)以及密码,所以首先需要考虑验证字段和密码的存储。(这里使用flask-sqlalchemy作为ORM) model:User class User(db.Model): """用户类""" id = db.Column...
Flask-Authorize:Flask的授权和访问控制
05-03
烧瓶授权 Flask-Authorize是Flask扩展,旨在简化将访问控制列表(ACL)和基于角色的访问控制(RBAC)合并到包含敏感数据的应用程序中的过程,从而使开发人员可以专注于其应用程序的实际代码,而不是逻辑强制执行权限。 它使用类unix的权限方案来对现有内容执行访问权限,并且还提供了在整个应用程序中全局执行权限的机制。 安装 要通过pip安装最新的稳定版本,请运行: $ pip install Flask-Authorize 或者使用easy_install,运行: $ easy_install Flask-Authorize 要安装项目的最新版本(不推荐): $ git clone http://github.com/bprinty/Flask-Authorize.git $ cd Flask-Authorize $ python setup.py install
Flask 来写个轻博客 (25) — 使用 Flask-Principal 实现角色权限功能
weixin_34072159的博客
12-09 440
目录 目录 前文列表 扩展阅读 Flask-Principal 使用 Flask-Principal 来实现角色权限功能 添加 Role Model 在 Manager shell 中手动的添加角色 初始化 Flask-Principal 和 Permission 实现权限载入信号逻辑 实现身份改变信号逻辑 实现只有文章作者...
探索 Flask-Permission:一款强大的权限管理
gitblog_00092的博客
04-07 1269
探索 Flask-Permission:一款强大的权限管理库 去发现同类优质开源项目:https://gitcode.com/ 是一个基于 Python 的微框架 Flask 设计的权限控制插件,它为你的应用提供了简单而灵活的方式来处理用户的角色和权限,以实现精细化的访问控制。 项目简介 在 Flask-Permission 中,你可以定义角色(Role)和权限(Permission),并轻松地将...
探索 Flask-Principal:精细权限控制的艺术
gitblog_00039的博客
04-17 473
探索 Flask-Principal:精细权限控制的艺术 去发现同类优质开源项目:https://gitcode.com/ 是一个用于 Python 的 Flask web 框架的扩展,它为应用程序提供了强大的角色和身份管理功能,帮助开发者实现精细化的权限控制。这篇技术文章将带您了解 Flask-Principal 的核心特性、工作原理,以及如何在您的项目中利用它。 项目简介 Flask-Prin...
Flask权限系统设计
bill的博客
05-03 688
Flask 是一个使用 Python 编写的 Web 应用程序框架,它可以轻松地实现各种功能,包括 RBAC(基于角色的访问控制)权限系统。RBAC 是一种常见的权限管理模型,它通过定义角色和分配权限来管理用户对系统资源的访问。
【转】flask权限管理
u011350122的博客
04-18 938
基本的flask权限管理 1. 验证字段与密码的存储 权限管理的基础就是验证字段(用户名or邮箱...)以及密码,所以首先需要考虑验证字段和密码的存储。(这里使用flask-sqlalchemy作为ORM) model:Userclass User(db.Model): """用户类""" id = db.Column(db.Integer, primary_key=True) # 用户名字
flask视频网站(权限控制
Roy_Allen的博客
12-16 1739
通过定义角色和授权角色,进行权限控制
FlaskFlask-Principal介绍译文
代码就是生产力!https://yannanxiu.cn/
04-18 3341
Flask-Principal介绍译文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奈何桥上的幽灵野草

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值