第8章：權限管理

8.1 權限管理的概念

權限管理是控制用戶對應用內不同資源訪問的機制。它確保用戶只能訪問他們被授權的資源。

8.2 Flask-Principal擴展的使用

Flask-Principal是一個提供權限管理功能的Flask擴展，它允許您定義角色和權限，并在視圖級別進行訪問控制。

示例代碼：安裝Flask-Principal

pip install flask-principal

示例代碼：配置Flask-Principal

from flask_principal import Principal, Permission, RoleNeedprincipals = Principal(app)# 定義角色需要
admin_permission = Permission(RoleNeed('admin'))
user_permission = Permission(RoleNeed('user'))

8.3 角色和權限的設置

角色是一組權限的集合。您可以為用戶分配角色，從而間接地賦予他們權限。

示例代碼：分配角色

from flask_login import current_user# 假設User模型有一個角色屬性
if hasattr(current_user, 'roles'):for role in current_user.roles:principals.add_permission(RoleNeed(role), current_user)

8.4 訪問控制的實現

您可以使用Permission對象來保護路由，確保只有具有相應權限的用戶才能訪問。

示例代碼：使用Permission保護路由

from flask_principal import identity_loaded, UserNeed@identity_loaded.connect_via(app)
def on_identity_loaded(sender, identity):# 假設用戶ID存儲在session中identity.user = current_user.idif hasattr(current_user, 'id'):identity.provides.add(UserNeed(current_user.id))if hasattr(current_user, 'roles'):for role in current_user.roles:identity.provides.add(RoleNeed(role))# 保護路由示例
@app.route('/admin')
@admin_permission.require(http_exception=403)
def admin():return 'Admin Dashboard'

8.5 動態權限檢查

Flask-Principal允許您在模板中執行動態權限檢查，顯示或隱藏基于用戶權限的內容。

示例代碼：在模板中使用Permission

{% if current_user.can(admin_permission) %}<a href="{{ url_for('admin') }}">Admin Dashboard</a>
{% endif %}

8.6 總結

本章介紹了權限管理的概念，以及如何使用Flask-Principal擴展來設置角色和權限，并實現訪問控制。