python3装饰器顺序_python Flask 装饰器顺序问题解决

最新推荐文章于 2022-05-19 15:52:49 发布
最新推荐文章于 2022-05-19 15:52:49 发布
阅读量139 收藏
点赞数
文章标签: python3装饰器顺序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35214794/article/details/113967706
版权
本文详细解析了Python3装饰器的执行顺序,并通过Flask框架中的路由装饰器`@route`和权限装饰器`@login_required`为例,阐述了为何必须保证`route`装饰器在最顶层。分析了错误的装饰器顺序导致的未授权访问漏洞,通过实例解释了正确和错误的装饰器使用方式。
摘要由CSDN通过智能技术生成

上周 RealWorld CTF 2018 web 题 bookhub 有个未授权访问的漏洞,比较有意思,赛后看了一下公开的 WriteUp,大家也都没写清楚,所以就有了这篇博文。

前言

这个题是用 flask 框架写的,在www/bookhub/views/user.py中,refresh_session方法存在未授权访问漏洞,代码是这样写的:

@login_required

@user_blueprint.route('/admin/system/refresh_session/', methods=['POST'])

def refresh_session():

pass # 这里省略内容

注意看 @login_required这个装饰器写在了 route装饰器上面了,导致了 login_required未调用。那么,为什么会这样子呢?

官方文档

Flask 官方文档中关于Login Required Decorator说明 这一节里面有一行说明:

To use the decorator, apply it as innermost decorator to a view function. When applying further decorators, always remember that the route() decorator is the outermost.

大概意思就是,必须保证 route 装饰器在最顶层

那么为什么要这样提示呢?

Python 装饰器顺序说明

本节内容可直接参考: Python 装饰器执行顺序迷思

总结一下就是,装饰的顺序按靠近函数顺序执行,从内到外装饰,调用时由外而内,执行顺序和装饰顺序相反。

回过头来看 Flask

Flask 框架中, route装饰器是这么写的:

def route(self, rule, **options):

"""Like :meth:`Flask.route` but for a blueprint. The endpoint for the

:func:`url_for` function is prefixed with the name of the blueprint.

"""

def decorator(f):

endpoint = options.pop("endpoint", f.__name__)

self.add_url_rule(rule, endpoint, f, **options)

return f

return decorator

route 调用了add_url_rule, 对传入的f添加一条 URL 规则。

所以,按照 python 装饰器顺序:

如果@app.route在内层,那么就会把最原始的 view 函数传给 add_url_rule , Flask 框架就会添加一条 URL 规则,指向最原始的 view 函数。

如果 @app.route在外层,那么就会把已经被 login_required 装饰过的 view 函数传给 add_url_rule , Flask 框架就会添加一条 URL 规则,指向已经装饰过的 view 函数。

下面是两个例子,来说明:

正确写法

@user_blueprint.route('/admin/refresh_session/', methods=['POST'])

@login_required

def refresh_session():

pass

这段代码相当于:

# 这里没有装饰器

def refresh_session():

pass

login_wrapped = login_required(refresh_session) # login 装饰器

both_wrapped = app.route('/admin/refresh_session/')(login_wrapped) # route 装饰器

/admin/refresh_session/这条路由指向的实际是login_wrapped,这样就会经过 login 检查

错误写法

@login_required

@user_blueprint.route('/admin/refresh_session/', methods=['POST'])

def refresh_session():

pass

这段代码相当于:

# 这里没有装饰器

def refresh_session():

pass

route_wrapped = app.route('/admin/refresh_session/')(refresh_session) # route 装饰器

login_wrapped = login_required(route_wrapped) # login 装饰器

/admin/refresh_session/这条路由指向的实际是refresh_session , 而login_wrapped 并没有与路由挂勾,所以不会被调用

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持聚米学院。

OptionBit由点选择
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】fakebook(网鼎杯2018)解题详析
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
蓝图(blueprint)的理解和用法
热门推荐
when_september_ends的博客
02-26 1万+
- 作用:blueprint把不同功能的module分开。可以让应用模块化,针对大型应用。 蓝图的基本概念:在蓝图被注册到应用之后,所要执行的操作的集合。当分配请求时, Flask 会把蓝图和视图函数关联起来,并生成两个端点之前的 URL 。 比如只有一个run.py。有些功能需要多人分开来写,有些功能会有交错的可能,代码位置也不会在一起,这样可以用蓝图来开关一些模块(功能)和宏
python Flask 装饰器顺序问题解决
09-20
主要介绍了python Flask 装饰器顺序问题解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
flask装饰器顺序
tangsiqi130的博客
05-19 365
flask装饰器顺序
python编程小白到大牛之装饰器执行顺序你操作对了吗?
qq_42238397的博客
06-05 244
Python(发音:英[?pa?θ?n],美[?pa?θɑ:n]),是一种面向对象、直译式电脑编程语言,也是一种功能强大的通用型语言,已经具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法非常简捷和清晰,与其它大多数程序设计语言不一样,它使用缩进来定义语句。Python支持命令式程序设计、面向对象程序设计、函数式编程、面向切面编程、泛型编...
python装饰器执行顺序_Python装饰器执行顺序问题
weixin_39948277的博客
11-20 40
我用 flask 框架做一个网站的过程中,要用到装饰器,缩减版代码如下:def testwra(func):print "testwra"def _wrapper():print "wra"r = func()return rprint "end"return _wrapper@testwra@app.route('/users', methods=['GET'])def get_users():...
python 多个装饰器函数的执行顺序
MISAYAONE的博客
10-27 640
先背背定义:装饰器Python用于封装函数或类的代码工具,是Python函数的高级特性之一。其主要功能是使某个函数在不需要做任何变动的前提下增加额外功能,即对某个函数进行功能”装饰“;主要作用是可以提高代码的可读性、简洁性以及扩展性,常用于后期功能升级;具体做法是将一些特定或者通用的方法写成装饰器,在待装饰函数定义前加上@+装饰器名称。 思想上和栈结构的先入后出是一样的 执行起来是 ...
Python Flask Web开发实战视频.zip
03-01
4. **路由与视图**:介绍Flask的URL路由机制,如何通过装饰器将URL映射到视图函数,以及如何处理HTTP请求方法(GET、POST等)。 5. **模板引擎Jinja2**:详细解析Jinja2模板语言,包括变量、控制结构(如循环、条件...
浅谈flask截获所有访问及before/after_request修饰器
09-20
这两个修饰器是Flask提供的一种钩子机制,允许我们自定义请求处理流程。 `before_request` 修饰器正如其名,会在每个请求到达路由处理器之前被调用。这为我们提供了一个机会来预处理请求,例如检查用户身份、修改...
30分钟搭建PythonFlask框架并在上面编写第一个应用
09-22
6. **实现登录和登出功能**:Flask-Stormpath提供了一些内置的装饰器和函数,如`login_required`用于限制未登录用户访问某些页面,`login_user`和`logout_user`分别用于用户登录和登出操作。 7. **创建路由和视图**...
Python多个装饰器顺序
jyhhhhhhh的专栏
01-20 6792
原文链接:http://www.cnblogs.com/nisen/p/6193426.html?utm_source=itdadao&utm_medium=referral 装饰器Python用于封装函数或代码的工具,网上可以搜到很多文章可以学习,我在这里要讨论的是多个装饰器执行顺序的一个迷思。 疑问 大部分涉及多个装饰器装饰的函数调用顺序时都会说明它们是自上而下
python三大神器之一装饰器
weixin_41789943的博客
04-23 6077
装饰器的作用:在不改变原函数的情况下给函数增加功能!装饰器由闭包和语法糖组成闭包:即两个函数嵌套,外部函数返回内部函数的引用,外部函数一定会传入参数,外部函数起的是交换引用的作用:把要装饰的参数(也就是装饰前的函数)与 装饰后的函数的引用对换,而里层的函数做的是执行操作,调用原函数就是在这里执行的!#闭包模型#外函数def set_fun(func):    def call_fun( *args...
Python Pytest自动化测试 改用例执行顺序
kami_ochin_akane的博客
11-13 1621
Time will tell. pytest默认执行用例是根据项目下的文件夹名称按ascii码去收集的, module里面的用例是从上往下执行。 pytest_collection_modifyitems钩子函数就是用来改变用例执行顺序的。 pytest_collection_modifyitems功能是当测试用例收集完成后,可以改变测试用例集合的顺序。 def pytest_collection_modifyitems(session, config,items): ''' called afte.
python更改数据框指定位置的数据_python – 移动数据框列并更改列顺序
weixin_39525243的博客
12-04 278
我有一个名为df的数据框,其中包含以下列数据标题:date A B C D E F G H I07/03/2016 2.08 1 NaN NaN 1029 2 2.65 4861688 -0.038808/03/2016 2.20 1 NaN NaN 1089 2...
python 装饰器 (列举flask 框架路由装饰器 和 django源码装饰器,和常见的装饰器)五种装饰器带你飞
pengtaochang的博客
08-14 1112
python装饰器可以在不改变原有函数代码的基础上,实现一些新功能的加入,是python开发的一大神器。 下面结合我自身的学习经历列举一些常见的装饰器,以供大家借鉴参考: 0 通用装饰器 特点: functools.wraps 装饰参数func后,装饰器生成的新test函数可保留自己的函数名和文档信息 形参设为不定长参数,也可根据需要自行定义 import functools def...
python3使用flask_login的login_required装饰器无法跳转问题解决
u013345707的博客
10-26 7202
flask_login官方文档是:http://www.pythondoc.com/flask-login/ 总结一下,在登录路由前,除了app,需要设置的有:User类(可以直接继承Usermixin),以及以下代码: app.secret_key = os.urandom(24) login_manager = LoginManager() login_manager.session_p...
Flask的介绍和基本使用-项目创建和拆分、蓝图blueprint、route路由、Request、Response
hu1258123819的博客
08-23 1633
一、Flask简介 Django 重型框架 Flask 轻量级框架 Flask是一个基于Python实现的Web开发‘微’框架 'MicroFramework' 官方文档: http://flask.pocoo.org/docs/0.12/ 中文文档: http://docs.jinkan.org/docs/flask/ Flask是一个基于MVC设计模式的We...
Python3之实现装饰器的两种方式
Quincy.Coder的博客
03-01 833
M1: def wrapper(self, func): """ :return: """ def inner(request, *args, **kwargs): self.request = request return func(request, *args, **kwargs) return inner ...
python装饰器 & flask 通过装饰器 实现 单点登录验证
weixin_30745641的博客
06-01 507
首先介绍装饰器,以下是一段标注了特殊输出的代码。用于帮助理解装饰器的调用过程。 import time def Decorator_one(arg1): info = "\033[1;31;40mthis is Decorator_one with para " + str(arg1) print(info) def _Decorat...
Python高级函数:闭包与装饰器详解
- `@w1 @w2 def f1(): print(’f1')`展示了如何将多个装饰器应用于同一个函数,调用顺序决定了它们的执行顺序。 第7章高级函数部分深入探讨了Python中的闭包和装饰器,这两个概念对于理解和扩展Python的功能至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值