Flask 学习 - 用户请求权限判断

最新推荐文章于 2025-03-28 16:45:00 发布
最新推荐文章于 2025-03-28 16:45:00 发布
阅读量865 收藏 2
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42817311/article/details/107875619
版权
本文介绍如何在FlaskWeb应用中实现用户权限管理,通过定义权限类型和使用自定义过滤器,确保用户请求操作符合其权限级别,防止未授权访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Flask Web开发:基于Python的Web应用开发实战(第2版) 学习笔记-用户权限判断

关于用户权限的判断

该功能用于判断用户相关请求操作是否有足够权限执行,如权限不够则返回403报错

定义权限类型

models.py

class Permission: # 包含 关注 备注等权限
    FOLLOW = 1
    COMMENT = 2
    WRITE = 4
    MODERATE = 8
    ADMIN = 16

添加User model 权限属性 及相关操作

class User():
	...
	permissions = db.Column(db.Integer)
	
	def has_permission(self,permission):
		return self.permissions & permission == permission

自定义过滤器

decorators

from functools import wraps
from flask import abort
from flask_login import current_user
from .models import Permission
def permission_required(permission):
	def decorator(f):
		@wraps(f)
		def decorated_function(*args, **kwargs):
			if not current_user.can(permission):
			abort(403)
			return f(*args, **kwargs)
		return decorated_function
	return decorator
def admin_required(f):
return permission_required(Permission.ADMIN)(f)

Demo

#!/usr/bin/env python
# _*_coding:utf-8 _*_
# @Time    :2020/8/7 7:50
# @Author  :Coco
# @FileName: temp.py

# @Software: PyCharm
"""
# code is far away from bugs with the god animal protecting
    I love animals. They taste delicious.
              ┏┓ ┏┓
            ┏┛┻━┛┻━┓
            ┃   ☃  ┃
            ┃ ┳┛ ┗┳ ┃
            ┃   ┻   ┃
            ┗━┓   ┏━┛
               ┃     ┗━━┓
               ┃        ┣┓
               ┃       ┏┛
               ┗┓┓━━┳┓━┛
                 ┃┫  ┃┫
                 ┗┛  ┗┛
"""
from functools import wraps


class User():
    '''
    模拟定语用户类 创建时需给定名称以及权限级别
    '''
    def __init__(self, name, per):
        self.name = name
        self.per = per

    def has_permission(self, permission):
        '''
        判断此用户是否有足够权限
        :param permission: 给你需要判断的权限等级
        :return: 布尔值
        '''
        return self.per & permission == permission


class Permission:
    '''
    定语5中权限级别
    '''
    FOLLOW = 1
    COMMENT = 2
    WRITE = 4
    MODERATE = 8
    ADMIN = 16


# 实例化user 类 模拟请求中的current_user 此处我们给的是ADMIN 即最高权限
user = User('coco', 1+2+4+8+16)


def permission_required(permission):
    # 传入方法需要的权限等级
    def decorator(f):
        # 交互中请求的方法 在路由中定义的相关方法
        @wraps(f)
        def decorated_function(*args, **kwargs):
            if not user.has_permission(permission):
                # 判断该用户是否存在此权限 此处传参即为我们想要定义的权限级别
                # 例 该装饰器装饰的是 index 方法 传参为Permission.ADMIN 表示 只有ADMIN 权限才能访问index
                print('你并没有权限完成此操作')
                raise Exception('操作权限,退出')
                # abort(403) flask 中应用abort处理权限不够的情况
            return f(*args, **kwargs)

        return decorated_function

    return decorator


def admin_required(f):
    # 判断是否有admin权限
    return permission_required(Permission.ADMIN)(f)


@admin_required
def for_admin_only():
    return 'For administrators'


# 此处给定的COMMENT 表示为for_moderators_only 方式至少需要COMMENT才能使用
@permission_required(Permission.COMMENT)
def for_moderators_only():
    return 'For comment moderators!'

Demo执行情况如下

print(for_moderators_only())

For comment moderators! 因为User权限为最高权限,所以请求成功

print(for_admin_only())

For administrators 因为User权限为最高权限,所以请求成功

此时我们修改use权限以为 为Follow

user = User('coco',1)
...
print(for_moderators_only())

你并没有权限完成此操作
Traceback (most recent call last):
File “E:/MeiTianYiTi/temp.py”, line 94, in
print(for_moderators_only())
File “E:/MeiTianYiTi/temp.py”, line 69, in decorated_function
raise Exception(‘操作权限,退出’)
Exception: 操作权限,退出

print(for_admin_only())

Traceback (most recent call last):
File “E:/MeiTianYiTi/temp.py”, line 96, in
print(for_admin_only())
File “E:/MeiTianYiTi/temp.py”, line 69, in decorated_function
raise Exception(‘操作权限,退出’)
Exception: 操作权限,退出
你并没有权限完成此操作

此时因为FOLLOW 权限级别不够 COMMENT以及ADMIN 所以两次请求均报错

赵小甲
关注
Flask:关于用户权限校验的通用函数
每日出拳老爷子的博客
08-18 379
背景 Web应用往往涉及不同页面的权限管理,对此做了如下试验,并做了一个比较好用的通用函数。 场景 该Web应用涉及多个用户角色,TSG_user, TSG_admin,Plan_user,Plan_admin以及Common_user,视图函数和角色之间的对应关系大概是: 用户管理界面:Plan_admin和TSG_admin 配置界面:Plan_admin,Plan_user 查询界面:Plan_admin,Plan_user,TSG_admin,TSG_user BS上传界面:TSG_admin,T
Web应用安全测试-权限缺失
06-17 962
Flash跨域访问、jsonp跨域请求、未授权访问等各种权限缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
Flask实战第37天:服务器权限验证
weixin_30699465的博客
08-11 423
完成服务器权限验证之前,我们先如下页面先补上 帖子管理 {% extends 'cms/cms_base.html' %} {% block title %} 帖子管理-CMS管理系统 {% endblock %} {% block page_title %} 帖子管理 {% endblock %} {% block main_conten...
Flask(七)用户认证与权限管理
最新发布
网络风云的博客
03-28 1万+
在 Web 应用中,用户认证(Authentication)和权限管理(Authorization)是至关重要的功能。Flask 提供了多种方式来实现用户身份验证,包括。Flask-Login 提供 @login_required 装饰器,限制未登录用户访问特定页面。下一章将介绍 Flask 的异步任务与后台处理。进行 API 认证。
Flask-Permissions 使用教程
gitblog_00271的博客
09-03 610
Flask-Permissions 使用教程 flask-permissionsA simple permissions system for Flask项目地址:https://gitcode.com/gh_mirrors/fl/flask-permissions 项目介绍 Flask-Permissions 是一个简单的 Flask 权限扩展,与 Flask-SQLAlchemy 配合使用,...
flask-permission:一个基于flask权限管理的后端代码
05-03
flask-permission 一个基于flask权限管理的后端代码
\20. ORM的实现原理?**
kongziming7799的博客
09-17 188
\20. ORM的实现原理?** 概念: 对象关系映射(Object Relational Mapping,简称ORM,或O/RM,或O/R mapping),是一种程序技术,用于实现面向对象编程语言里不同类型系统的数据之间的转换。 详细介绍: 让我们从O/R开始。字母O起源于”对象”(Object),而R则来自于”关系”(Relational)。几乎所有的程序里面,都存在对象和关系数据库。在业务...
【应用】-iStrobe - Flash & Strobe Light for iPhone 4(售价$0.99).7z
07-07
开发者需要在代码中处理这些权限请求,并在用户拒绝时给出合适的提示。 6. **性能优化**:由于频闪功能可能会对电池寿命造成影响,开发者需要进行性能优化,确保在不影响用户体验的同时,尽可能减少电池消耗。这...
PHP实例开发源码—Flexsns-sky完全FLASH许愿天空(php许愿墙).zip
11-11
- **权限管理**:用户可能需要登录才能许愿,权限系统确保只有合法用户能执行某些操作。 9. **响应式设计** - **适应不同设备**:许愿墙应考虑移动设备的兼容性,使用CSS3媒体查询等技术实现响应式布局。 10. **...
隐私泄露杀手锏 —— Flash 权限反射
Coisini的博客
06-16 538
前言 一直以为该风险早已被重视,但最近无意中发现,仍有不少网站存在该缺陷,其中不乏一些常用的邮箱、社交网站,于是有必要再探讨一遍。 事实上,这本不是什么漏洞,是 Flash 与生俱来的一个正常功能。但由于一些 Web 开发人员了解不够深入,忽视了该特性,从而埋下安全隐患。 原理 这一切还得从经典的授权操作说起: Security.allowDomain('*') 对于这行代码,或许都不陌...
电子政务-用于Flash+EEPROM的数据锁存电路.zip
09-17
而EEPROM则用于存储动态数据,如系统设置、用户权限、操作日志等,这些数据可能会频繁更新。 在数据锁存电路中,Flash和EEPROM通过特定的控制逻辑进行交互。当需要读取数据时,电路会根据需求从Flash或EEPROM中提取...
Flask 简单实现一些用户认证
sun545257144的博客
02-24 159
权限认证
推荐文章: Flask-Permissions —— 简化权限管理的利器
gitblog_01041的博客
09-03 389
推荐文章: Flask-Permissions —— 简化权限管理的利器 flask-permissionsA simple permissions system for Flask项目地址:https://gitcode.com/gh_mirrors/fl/flask-permissions 在构建Web应用时,权限控制是确保安全性和功能隔离的关键环节。对于基于PythonFlask框架开...
探索 Flask-Permission:一款强大的权限管理库
gitblog_00092的博客
04-07 1258
探索 Flask-Permission:一款强大的权限管理库 去发现同类优质开源项目:https://gitcode.com/ 是一个基于 Python 的微框架 Flask 设计的权限控制插件,它为你的应用提供了简单而灵活的方式来处理用户的角色和权限,以实现精细化的访问控制。 项目简介 在 Flask-Permission 中,你可以定义角色(Role)和权限(Permission),并轻松地将...
Flask面试题集锦
NiuXL的编程技术网络日志
09-12 6333
文章目录1. Flask框架的优势 1. Flask框架的优势 Flask框架依赖组件 Flask蓝图的作用 列举使用过的Flask第三方组件 简述Flask上下文管理流程 Flask中的g的作用 Flask中上下文管理主要涉及到了那些相关的类,这些类的主要作用 为什么要Flask把Local对象中的的值stack 维护成一个列表 Flask中多app应用是怎么完成 在Flask中实现WebSoc...
Flask——用户权限管理
cod16xx的博客
08-17 3645
权限操作: 操作 位值 说明 关注用户 0b00000001(0x01) 关注其他用户 发表评论 0b00000010(0x02) 在别人写的文章中发表评论 写文章 0b00000100 发表文章 管理他人评论 0b00001000 查处他人不良评论 管理员 0b10000000 管理网站 可以写成一个类方便调用class Per
Flask初级(七)flash模板循环,判断
weixin_30525825的博客
12-28 209
Project name :Flask_Plan templates:templates static:static 继续前面的代码 修改Flask_Plan.py @app.route('/') def hello_world(): plan = [ { 'date':'20171212', ...
flask 实现接口权限管理
judahwang的博客
05-06 649
【代码】flask 实现接口权限管理。
推荐使用Permission:Flask应用的简单灵活权限控制
gitblog_00614的博客
08-30 944
推荐使用Permission:Flask应用的简单灵活权限控制 permissionSimple and flexible permission control for Flask app.项目地址:https://gitcode.com/gh_mirrors/permis/permission 在构建Flask应用时,权限控制是一个不可或缺的环节。今天,我们要介绍的是一个名为Permissio...
掌握Laravel权限控制:深入laravel-permission-roles
在Laravel框架的开发过程中,管理和控制用户权限是一个非常重要的环节。Laravel框架提供了很多方便的功能和扩展包来帮助开发者实现复杂的权限系统。其中,`laravel-permission-roles` 是一个非常流行的第三方扩展包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值