[python][flask]Flask-Principal 使用详解

Flask-Principal 是一个专为 Flask 应用设计的身份管理和权限控制扩展。它能够帮助开发者轻松实现用户身份验证和权限管理,从而提升应用的安全性和用户体验。该项目最初由 Ali Afshar 开发,现已成为 Pallets 社区生态系统的一部分,由社区共同维护。

1. 安装 Flask-Principal

首先,需要安装 Flask-Principal。可以通过以下命令安装:

python 复制代码
pip install flask-principal
2. 基本配置

在 Flask 应用中配置 Flask-Principal,初始化扩展并定义权限

python 复制代码
from flask import Flask
from flask_principal import Principal, Permission, RoleNeed

app = Flask(__name__)
app.secret_key = 'your_secret_key'  # 用于会话管理

# 初始化 Flask-Principal
principals = Principal(app)

# 定义权限
admin_permission = Permission(RoleNeed('admin'))
3. 定义用户模型

假设你已经有一个用户模型,用户模型中包含角色信息。例如:

python 复制代码
class User(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True)
    roles = db.relationship('Role', secondary='user_roles')

class Role(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.String(80), unique=True)

class UserRole(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    user_id = db.Column(db.Integer, db.ForeignKey('user.id'))
    role_id = db.Column(db.Integer, db.ForeignKey('role.id'))
4. 身份加载器

定义一个身份加载器,用于在用户登录时加载用户的角色和权限

python 复制代码
from flask_login import current_user
from flask_principal import identity_loaded, RoleNeed, UserNeed

@identity_loaded.connect_via(app)
def on_identity_loaded(sender, identity):
    # 设置当前用户对象
    identity.user = current_user

    # 添加用户 ID
    if hasattr(current_user, 'id'):
        identity.provides.add(UserNeed(current_user.id))

    # 添加用户角色
    if hasattr(current_user, 'roles'):
        for role in current_user.roles:
            identity.provides.add(RoleNeed(role.name))
5. 保护视图

使用 Permission 对象保护视图,确保只有具有相应权限的用户才能访问

python 复制代码
@app.route('/admin')
@admin_permission.require(http_exception=403)
def admin_dashboard():
    return "Welcome to the admin dashboard!"

也可以使用上下文管理器来保护视图中的部分代码

python 复制代码
@app.route('/articles')
def articles():
    with admin_permission.require():
        return "Only admins can see this"
6. 登录与注销

在用户登录时,发送身份更改信号

python 复制代码
from flask_principal import Identity, identity_changed

@app.route('/login', methods=['GET', 'POST'])
def login():
    # 假设有一个登录表单
    form = LoginForm()
    if form.validate_on_submit():
        user = User.query.filter_by(username=form.username.data).first()
        if user and user.check_password(form.password.data):
            login_user(user)
            identity_changed.send(app, identity=Identity(user.id))
            return redirect(url_for('admin_dashboard'))
    return render_template('login.html', form=form)

在用户注销时,清除身份信息

python 复制代码
from flask_principal import AnonymousIdentity

@app.route('/logout')
def logout():
    logout_user()
    for key in ('identity.name', 'identity.auth_type'):
        session.pop(key, None)
    identity_changed.send(app, identity=AnonymousIdentity())
    return redirect(url_for('login'))
7. 自定义权限

除了基于角色的权限,还可以定义更复杂的权限需求。例如,定义一个基于特定操作的权限

python 复制代码
edit_permission = Permission(RoleNeed('editor'))

@app.route('/edit_article')
@edit_permission.require(http_exception=403)
def edit_article():
    return "Only editors can edit articles"
8. 总结

Flask-Principal 提供了一种灵活的方式来实现基于角色和权限的访问控制。通过定义权限、加载用户身份和保护视图,可以轻松实现复杂的授权逻辑。结合 Flask-Login,可以实现完整的用户认证和授权系统。

希望这些信息能帮助你更好地使用 Flask-Principal!

相关推荐
FPGAI21 小时前
Qt编程之信号与槽
开发语言·qt
Swift社区1 天前
从 JDK 1.8 切换到 JDK 21 时遇到 NoProviderFoundException 该如何解决?
java·开发语言
0wioiw01 天前
Go基础(④指针)
开发语言·后端·golang
Eric.5651 天前
python advance -----object-oriented
python
How_doyou_do1 天前
数据传输优化-异步不阻塞处理增强首屏体验
开发语言·前端·javascript
jingfeng5141 天前
C++11可变参数模板、emplace系列接口、包装器
开发语言·c++
云天徽上1 天前
【数据可视化-107】2025年1-7月全国出口总额Top 10省市数据分析:用Python和Pyecharts打造炫酷可视化大屏
开发语言·python·信息可视化·数据挖掘·数据分析·pyecharts
THMAIL1 天前
机器学习从入门到精通 - 数据预处理实战秘籍:清洗、转换与特征工程入门
人工智能·python·算法·机器学习·数据挖掘·逻辑回归
Tina表姐1 天前
(C题|NIPT 的时点选择与胎儿的异常判定)2025年高教杯全国大学生数学建模国赛解题思路|完整代码论文集合
c语言·开发语言·数学建模
@HNUSTer1 天前
Python数据可视化科技图表绘制系列教程(六)
python·数据可视化·科技论文·专业制图·科研图表