最近新需求來(lái)了��,要給系統(tǒng)增加幾個(gè)資源權(quán)限���。盡量減少代碼的改動(dòng)和程序的復(fù)雜程度���。所以還是使用裝飾器比較科學(xué)
之前用了一些登錄驗(yàn)證的現(xiàn)成裝飾器模塊�����。然后仿寫一些用戶管理部分的權(quán)限裝飾器�。
比如下面這種
def permission_required(permission):
def decorator(f):
@wraps(f)
def decorated_function(*args, **kwargs):
if not current_user.can(permission):
abort(403)
return f(*args, **kwargs)
return decorated_function
return decorator
def admin_required(f):
return permission_required(Permission.SMY)(f)
調(diào)用權(quán)限的時(shí)候很好理解���。直接仿寫admin_required的格式就好了�����。然后每個(gè)頁(yè)面入口用語(yǔ)法糖這樣寫: @admin_required
于是頁(yè)面的入口權(quán)限就做好了�。但是資源權(quán)限和頁(yè)面權(quán)限不同。上面內(nèi)容中提到的permission是寫在model.py的靜態(tài)內(nèi)容里面的����。
從封裝來(lái)看,至少是看不出來(lái)哪個(gè)地方暴露了用戶查詢的方法(菜鳥水平下)���。只能簡(jiǎn)單的看出來(lái)if判斷的時(shí)候似乎使用了current_user這個(gè)變量的內(nèi)置方法
但是current_user其實(shí)是一個(gè)第三方的包的內(nèi)容��,和登錄模塊引入的包相同����,是一整套記錄token信息的代碼�����。詳細(xì)內(nèi)容太多���。從這個(gè)地方出發(fā)去寫�����,會(huì)go die
因?yàn)槟呐挛抑榔鋵?shí)調(diào)用的.can(permission)是model類里面定義的類方法���?���?墒莄urrent_user是取了哪個(gè)部分的東西還是不清楚����。
所以不管它。從頭來(lái)梳理一下裝飾器的內(nèi)容���。
首先一個(gè)簡(jiǎn)單的裝飾器寫法是很好理解的。比如原函數(shù)是這樣寫的:
def page():
if user == 'admin':
form = Form()
if request.method=='POST':
db.session.add(form)
db.session.commit()
flash("success")
return 0
這當(dāng)然是隨便寫的一個(gè)函數(shù)(明顯有很多問(wèn)題)����,只是用來(lái)表達(dá)一個(gè)過(guò)程。首先通過(guò)路由調(diào)用這個(gè)函數(shù)的時(shí)候�����,會(huì)先執(zhí)行第一個(gè)if判斷����。這個(gè)判斷即我們想要的驗(yàn)證內(nèi)容
驗(yàn)證通過(guò)以后��,說(shuō)明用戶可以訪問(wèn)這個(gè)頁(yè)面�����,然后頁(yè)面內(nèi)容會(huì)渲染出來(lái)���,交互功能也被允許……
那么裝飾器,就是把這個(gè)if的功能提取出來(lái)了�����。那么原函數(shù)寫成這樣的形式:
@admin_check
def page():
form = Form()
if request.method=='POST':
db.session.add(form)
db.session.commit()
flash("success")
return 0
單從這個(gè)函數(shù)來(lái)說(shuō)�����,這樣寫并沒(méi)有任何好處���,似乎本來(lái)一行代碼搞定的問(wèn)題�,多用了幾行代碼�����。我們展開這個(gè)形式的完整代碼看一下:
def admincheck(func):
if user=='admin':
return func
def page():
form = Form()
if request.method=='POST':
db.session.add(form)
db.session.commit()
flash("success")
return 0
page = admincheck(page())
上面的裝飾器只是把page=admincheck這一句寫成了@模式。
但是這種寫法只能解決最基本的驗(yàn)證問(wèn)題��。也就是相對(duì)獨(dú)立的入口驗(yàn)證��。這個(gè)驗(yàn)證還沒(méi)有拿到程序傳遞到page()函數(shù)當(dāng)中的參數(shù)�����。也就是說(shuō)��,這個(gè)驗(yàn)證這么看起來(lái)沒(méi)什么用處
不過(guò)機(jī)制是這樣�。接下來(lái)就可以研究怎樣的做法是把路由傳遞過(guò)來(lái)的請(qǐng)求數(shù)據(jù)進(jìn)行驗(yàn)證然后繼續(xù)執(zhí)行的了。
def admincheck(func):
def inner(arg):
if user == 'admin':
if arg == 'false':
abort(403)
return func(arg)
return inner
同樣的���,多個(gè)參數(shù)的時(shí)候���,只需要把 def inner(arg)改寫成def inner(arg1,arg2)
n個(gè)參數(shù)的時(shí)候�,則寫成def inner(*args,**kwargs) 這個(gè)需要注意一下。*args是元組����,即('user',1);**kwargs是字典,即{'user':1}
同時(shí)寫這兩個(gè)形參的話���,基本上就能處理所有傳遞進(jìn)來(lái)的參數(shù)類型了�。
當(dāng)然。除此以外還有更復(fù)雜的裝飾器寫法�。不過(guò)能處理傳遞過(guò)來(lái)的參數(shù)并且不影響被裝飾函數(shù)的正常執(zhí)行?����;旧蠈?shí)現(xiàn)了之前的功能��。
那么回過(guò)頭來(lái)看示例當(dāng)中的寫法����。最外層使用def permission_required(permission): 的意義,顯然是想要實(shí)現(xiàn)復(fù)用���。
def admin_required(f):
return permission_required(Permission.SMY)(f)
上面的(permission)形參顯然對(duì)應(yīng)permission_required(Permission.SMY)中(Permission.SMY)這個(gè)參數(shù)����。把這個(gè)參數(shù)的形參傳遞到方法體內(nèi)部
這也是為什么要在裝飾器decorator(f)外面再嵌套一層函數(shù)的原因——實(shí)現(xiàn)復(fù)用
于是之前這個(gè)寫法的內(nèi)容就很清晰了
def permission_required(permission):
#通過(guò)形參實(shí)現(xiàn)了一個(gè)裝飾器類���。對(duì)于不同針對(duì)性的裝飾器�����,都可以調(diào)用這個(gè)函數(shù)的實(shí)現(xiàn)�����,而只需要做最小的改動(dòng)(傳遞形參)
def decorator(f):
#這個(gè)才是裝飾器開始執(zhí)行的第一步
@wraps(f)
#這個(gè)裝飾器實(shí)際上是為了保證函數(shù)的原始屬性不發(fā)生改變�����。所謂原始屬性����,指的是__name__ 這種屬性
def decorated_function(*args, **kwargs):
#這個(gè)裝飾器方法把原函數(shù)的形參繼承了。因此實(shí)際上相當(dāng)于在原函數(shù)開頭增加了這個(gè)函數(shù)的內(nèi)容
if not current_user.can(permission):
#這個(gè)地方很明顯���。current_user是從內(nèi)存中取(服務(wù)端)���,然后permission就會(huì)根據(jù)我們實(shí)際需要驗(yàn)證的permission進(jìn)行形參到實(shí)參的轉(zhuǎn)化
abort(403)
#明顯的異常處理,當(dāng)然���,403是一個(gè)粗暴的方法。更粗暴的方法���,我會(huì)用redirect(url_for(logout))...
return f(*args, **kwargs)
#結(jié)束判斷�,把參數(shù)傳遞給原函數(shù)(此處的f()即是原函數(shù)(更具體的權(quán)限驗(yàn)證裝飾器),只是f是個(gè)丑陋的形參而已)
return decorated_function
return decorator
這樣差不多就結(jié)束了�。如果有人想補(bǔ)充,歡迎留言�。
