flask_admin 笔记二 授权和权限

权限当然就是让有应该权限的用户能执行某些操作，把没有权限的用户限制在外面。Flask-admin提供了几种方法来处理：

1, Http basic Auth

最简单的身份验证形式是HTTP基本身份验证。 它不会干扰你的数据库模型，也不需要你编写任何新的视图逻辑或模板代码。 所以，当你还在权限开发中，可以考虑作为一个测试的功能；或者可以简单运用于单用户的应用。

你可以参考https://flask-basicauth.readthedocs.io/en/latest/

但是这个组件无法一个登录界面整合到flask-admin中，功能也太简陋了。

2，自己集成权限框架（flask-login 或者 flask-httpAuth）

Flask 提供了一些访问规则允许你自己去定义一些访问的实现，你可以自己写，也可以集成想flask-login这些低层次的框架，然后自己实现访问控制。Flask-admin提供以下的实例：

class MicroBlogModelView(sqla.ModelView):

    def is_accessible(self):

        return login.current_user.is_authenticated

    def inaccessible_callback(self, name, **kwargs):

        # redirect to login page if user doesn't have access

        return redirect(url_for('login', next=request.url))

具体的例子，可以查看 https://github.com/flask-admin/Flask-Admin/tree/master/examples/auth-flask-login.

使用这些底层次的框架的缺点就是要自己去实现所有的细节。

3，使用flask-sercurity

如果你想要一个更加精美的解决方案，你可以使用Flask-Security，它是一个更高级的库。 它具有许多内置的视图，用于执行用户注册，登录，电子邮件地址确认，密码重置等常见的功能。

唯一复杂的就是使内置的Flask-Security视图与Flask-Admin模板顺利集成，以达到一致性的用户体验。 为此，您需要覆盖内置的Flask-Security模板，并通过将以下内容添加到每个文件的顶部来扩展Flask-Admin基本模板：

{% extends 'admin/master.html' %}

现在，您需要手动传递Flask-Admin模板的一些上下文变量，以便从Flask-Security视图调用时页面能正确呈现。 定义一个security_context_processor函数将为你处理这个问题：

def security_context_processor():
    return dict(
        admin_base_template=admin.base_template,
        admin_view=admin.index_view,
        h=admin_helpers,
    )

具体可以查看例子：

https://github.com/flask-admin/Flask-Admin/tree/master/examples/auth.

该示例只使用内置的注册和登录视图，但是您可以按照相同的方法来包含其他视图，例如忘记密码，发送验证邮件等。