本节我们来实现用于处理不同资源的路由。
一. app/api_1_0/posts.py
@api.route('/posts/')
def get_posts():
posts = Post.query.all()
return jsonify({'posts': [post.to_json() for post in posts]})
@api.route('/post/<int:id>')
def get_post(id):
post = Post.query.get_or_404()
return jsonify(post.to_json())
#...如果访问该路由的话, 因为api.befo_request修饰器的缘故, 会先访问before_request函数,
#因为before_request函数被auth.login_requred修饰器修饰, 所以要进行verify_password认证,
#认证通过, g.current_user中存储通过认证的用户, 然后可以访问before_request函数继而访问该路由,
#如果数据库没有该文章, 返回404错误, 且404错误已经被我们定义main.app_errorhandler(404), 按我们想要的格式返回
#然后返回json格式的响应, 上面get_posts函数原理类似。
#我们得出一个规律, 只要访问api注册的路由, 就会进行认证, 认证失败拒绝访问,
#认证通过g.current_user存储通过认证的用户, 然后我们在该视图函数中就可以使用g.current_user这个变量
@api.route('/posts/', methods=['POST'])
@permission_required(Permission.WRITE_ARTICLES)
def new_post():
post = Post.from_json(request.json)
post.author = g.current_user
db.session.add(post)
db.session.commit()
return jsonify(post.to_json()), 201, {'Location': url_for('api.get_post', id=post.id, _external=True)}
#用户认证通过并且该用户具有编辑文章的权限, 便可以访问该视图函数
#把json数据转换成post资源时如果出现Validation错误, 则由api.errorhandler(ValidationError)处理
#否则创建post并且返回post位置, 为了方便用户, 还返回文章资源。
#Permission_required修饰器在文章后面讲解
@api.route('/posts/<int:id>', methods=['PUT']) #认证通过并且具有写文章权限的用户才可以访问该视图函数
@Permission_required(Permission.WRITE_ARTICLES)
def edit_post(id):
post = Post.query.get_or_404(id)
if g.current_user != post.author and \ #如果用户不是该文章的作者并且不是管理员
not g.current_user.can(Permission.ADMINISTER)
return forbidden('Insufficient permissions')
post.body = request.json.get('body', post.body)
db.session.add(post)
return jsonify(post.to_json())
二. api_1_0/decorators.py
我们来分析一下修饰器如何实现:
根据我们上面的修饰格式可以得出:
new_post = Permission_required(Permission.WRITE_ARTICLES)(new_post)
进而得出:
new_post() = Permission_required(Permission.WRITE_ARTICLES)(new_post)()
通过认证的用户才可以访问new_post函数, 所以我们访问new_post时g.current_user存储的是通过认证的用户。
我们最终目的的验证g.current_user是否有这个权限, 有的话执行new_post, 没有返回forbidden(1)
所以我们的闭包有两层, 第一层把权限传进去, 第二层把函数传进去, 在最里面那个函数里实现(1)的操作
def Permission_required(permission):
def decorator(f):
def decorator_function(*nkwargs, **kwargs):
if not g.current_user.can(permission):
return forbidden('Insufficient permissions')
return f(*nkwargs, **kwargs)
return decorator_function
return decorator