上一篇文章介绍了使用JWT协议来做token认证的功能,继续装逼下去,怎样实现一个鉴权的模块?
假设token认证的功能已经完成,那么设定为每次请求头部中都带上这个token。server端在每次响应请求时都要做一次token的校验,包括两个内容:token是否合法,token是否过期、是否被篡改,token内的信息是否有效
用户是否有权限执行此请求
在python/flash上,这个检验使用decorator实现,会是一个很靠谱的办法,代码简洁性和可读性都很不错。
为认证和鉴权创建数据模型
首先,理清关系,用户-角色-权限,是多对多对多的关系。通过flask-sqlalchemy给这三者创建多对多模型,会是五张表,其中有两张表是多对多连接用的实体表,无ORM模型(根据flask的建议)。
然后,为了实现审计功能(一些删除对象操作之后将造成历史数据无法对应),用户-角色-权限都需要添加valid字段。删除时只设为不可用。
最后,创建一个decorator函数,实现检查token并审核权限的功能。
目标效果是怎样的?
在一个api或函数前,添加此decorator,参数包含它所需要的权限名称。一旦请求执行到此函数,将执行decorator的权限检查。如果认证或鉴权失败,直接走异常处理流程,不会执行请求内容。类似这样:@auth.PrivilegeAuth(privilegeRequired="userAdmin")
def get(self):
"""