Flask Security这个插件能对用户权限进行很好的控制。

通过三个model实现:

User,存放用户数据

Role,存放角色数据

User_Role.存放用户角色信息

user_datastore = SQLAlchemyUserDatastore(db, User, Role)

通过user_datastore可以查找用户,角色,以及赋予或者删除用户角色等操作。具体参见:http://pythonhosted.org/Flask-Security/api.html

比如我们新建一个view:

@app.route('/')

@login_required

def home():

    return render_template('index.html')

这个要求登陆,security会自动产生一个登陆页面, 当然你也可以覆盖自带的template

如果填写正确就可以看到内容。

那么如何使用权限控制呢。

@app.route('/dashboard')

@roles_required('admin', 'editor')

def dashboard():

    return "dashboard"

这里使用了@roles_required()这个装饰器来实现,需要登陆的用户拥有admin和editor两个角色。另外一个相应的装饰器是@roles_accepted(),这个只要有其中一个角色就可以通过。

那么如果不满足条件,就会往其它地方跳转。

我们看看其源代码:

def wrapper(fn):

        @wraps(fn)

        def decorated_view(*args, **kwargs):

            perms = [Permission(RoleNeed(role)) for role in roles]

            for perm in perms:

                if not perm.can():

                    if _security._unauthorized_callback:

                        return _security._unauthorized_callback()

                    else:

                        return _get_unauthorized_view()

            return fn(*args, **kwargs)

        return decorated_view

    return wrapper

看到如果没有通过权限认证,那么就会查看是否有_unauthorized_callback这个方法。如果有就调用

如果没有,那么就会调用_get_unauthorized_view()方法。

然后继续看其代码:

def _get_unauthorized_view():

    cv = utils.get_url(utils.config_value('UNAUTHORIZED_VIEW'))

    utils.do_flash(*utils.get_message('UNAUTHORIZED'))

    return redirect(cv or request.referrer or '/')

可以看到其查找了'UNAUTHORIZED_VIEW'这个配置。

进入config_value,发现它调用了下面这个方法来查找配置:

def get_config(app):

    """Conveniently get the security configuration for the specified

    application without the annoying 'SECURITY_' prefix.

    :param app: The application to inspect

    """

    items = app.config.items()

    prefix = 'SECURITY_'

    def strip_prefix(tup):

        return (tup[0].replace('SECURITY_', ''), tup[1])

    return dict([strip_prefix(i) for i in items if i[0].startswith(prefix)])

要注意到,我们在配置app的时候,要加一个‘SECURITY_’这个前缀才行!

所以只要我们在app中配置:

app.config['SECURITY_UNAUTHORIZED_VIEW'] = '/unauth'

然后添加一个视图:

@app.route('/unauth')

def unauth():

    return "unauth"

当认证失败后,就会跳转到这个页面了。

当然还有一个更灵活的配置方法,就是写一个装饰器,接受一个url

def set_unauth_view(url):

    def wrapper(fn):

        def decorator(*args, **kwargs):

            current_app.config['SECURITY_UNAUTHORIZED_VIEW'] = url

            return fn(*args, **kwargs)

        return decorator

    return wrapper

然后:

@app.route('/dashboard')

@set_unauth_view('/unauth')

@roles_required('admin', 'editor')

def dashboard():

    return "dashboard"

这样就可以针对特定的view指定跳转的页面了。

[Flask Security]当不能通过认证的时候制定跳转的更多相关文章

  1. Spring Security(04)——认证简介

    目录 1.1     认证过程 1.2     Web应用的认证过程 1.2.1    ExceptionTranslationFilter 1.2.2    在request之间共享Security ...

  2. 基于Springboot集成security、oauth2实现认证鉴权、资源管理

    1.Oauth2简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAu ...

  3. Spring Security 之Http Basic认证

    使用Spring Security进行http Basic认证非常简单,直接配置即可使用,如下: <security:http> <security:http-basic>&l ...

  4. 登陆模块,这个是很重要的模块,有shiro和spring security专门的权限认证框架

    登陆模块,这个是很重要的模块,有shiro和spring security专门的权限认证框架

  5. Spring Security 解析(三) —— 个性化认证 以及 RememberMe 实现

    Spring Security 解析(三) -- 个性化认证 以及 RememberMe 实现   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把 ...

  6. 阶段5 3.微服务项目【学成在线】_day16 Spring Security Oauth2_05-SpringSecurityOauth2研究-搭建认证服务器

    3 Spring Security Oauth2研究 3.1 目标 本项目认证服务基于Spring Security Oauth2进行构建,并在其基础上作了一些扩展,采用JWT令牌机制,并自定 义了用 ...

  7. 自定义HttpModule,用于未登录用户,不弹出Windows认证窗口,而是跳转回SSO站点

    2012年的一篇随笔记录,可以学习到如何自定义HttpModule,而具体里面针对需求开发的代码,可能未必能让大伙了解到什么,可快速扫描而过. using System; using System.W ...

  8. Shiro整合SSH开发3:配置Shiro认证后页面地址跳转问题(和详述不配置须要注意的问题)

         在视频教程中讲请求认证成功后跳转页面的问题是一笔带过的,可是我认为有必要单独写一篇相应的文章进行叙述.      我用了SSH来整合Shiro,在开发后验证的过程中,每次登陆后Shiro都会 ...

  9. Security - 轻量级Java身份认证、访问控制安全框架

    前言 此框架由小菜独立开发,并且已经在生产环境中运行大约一年时间. 也就是说,Security 框架写出来有一段时间了,但是一直没有公布.开源,经过不断迭代完善,终于算是拿得出手啦~ Security ...

随机推荐

  1. JDK TOMCAT MAVEN在myeclipse如何配置

    对于没有基础的人来说,本工具务必放在D盘根目录下. 1配置环境变量, "我的电脑-->右键-->属性" 貌似是这样吧,我电脑桌面没"我的电脑"或&q ...

  2. android编程之悬浮窗体

    用过手机360和QQ手机管家等一些软件的朋友,会发现,在这些应用中,会出现一个悬浮窗体,例如QQ手机管家中打电话的场景: 这种窗体除了会显示外,还可以移动它的位置,并且一直显示.除了关闭当前程序外,窗 ...

  3. BZOJ 2693 jzptab

    http://www.lydsy.com/JudgeOnline/problem.php?id=2693 题解: 考虑把lcm转化成gcd那答案就是然后神奇的设:就有:一样可以枚举 的取值,这是O(√ ...

  4. XML在数据传输哪些方面会比JSON有优势,在哪些领域更加适合?

    XML 跟 JSON 的圣战,或许会成为自 vim/emacs 圣战,cli/gui 圣战等等圣战以来的又一个圣战,而所有的圣战大抵都不会有结果,因为每方都有各自的道理,谁都不服谁. 在我看来,XML ...

  5. 学习下关于ViewStub实例的用法及带Drawable的TextView的妙用

    在项目中,我们可能有多种数据来源比如: 里面有ListView也有当获得数据为空的时候显示的空信息.根据点击的项目还是差事不同,显示的空消息也不同.a.没有收藏的项目,b目前没有收藏的差事. 其实实现 ...

  6. Java---设计模块(值对象)

    ★ 场景和问题 在Java开发时,需要来回交换大量的数据,比如要为方法传入参数,也要获取方法的返回值,该如何能更好的进行数据的交互? ★ 基本的编写步骤 ◎第1步:写一个类,实现可序列化(如果以后数据 ...

  7. Java学习笔记(1)——基本数据类型

    一.进制转换 10^n被称为权  10称为基数   计算机中正数和负数的关系是取反加一, 如: ~3+1=-3 补码边界运算有溢出风险 32位二进制补码最多表示2^32个数, -2G~2G 1,计算机 ...

  8. CSS3新特性罗列

    接触CSS3这么久了,总是到要用的时候直接拿来用,却没有好好地总结归纳一下,那就在这里好好梳理一下吧. CSS3边框: 圆角边框: 关键:border-radius <!DOCTYPE html ...

  9. Ajax解析

    1.Ajax Asynchronous(异步的) javascript and xml 技术组成: CSS + xml +JavaScript +DOM Ajax核心对象: XmlHttpReques ...

  10. PHP设计模式笔记六:数据对象映射模式 -- Rango韩老师 http://www.imooc.com/learn/236

    数据对象映射模式 1.数据对象映射模式,是将对象和数据存储映射起来,对一个对象的操作会映射为对数据存储的操作 2.在代码中实现数据对象映射模式,我们将实现一个ORM类,将复杂的SQL语句映射成对象属性 ...