【问题标题】:Python3 flask_admin : How to avoid unauthorized users view the admin page?Python3 flask_admin:如何避免未经授权的用户查看管理页面?
【发布时间】:2021-07-11 01:13:09
【问题描述】:

最近在用python flask搭建一个简单的网站 但我对如何避免未经授权的用户查看管理页面感到困惑

虽然重写is_visibleis_accessible函数可以避免未经授权的用户查看或编辑数据库中的数据 但是所有用户仍然可以看到管理页面 我想在未经授权的用户尝试进入管理页面时将他们重定向到索引页面,我该怎么做?

这是我使用 python3 编写的AdminModeView 代码

# admin panel permission setting
class AdminModelView(ModelView):
    def is_visible(self):
        try:
            if(current_user.auth == 'Admin'):
                return True
            else:
                return False
        except:
            return False

    def is_accessible(self):
        try:
            if(current_user.auth == 'Admin'):
                can_create = True
                can_edit = True
                can_delete = True
                return True
            else:
                return False
        except:
            return False
    
    def inaccessible_callback(self, name, **kwargs):
        # redirect to login page if user doesn't have access
        return redirect(url_for('login', next=request.url))

【问题讨论】:

    标签: python flask flask-sqlalchemy flask-admin


    【解决方案1】:
    from flask_admin import AdminIndexView
    from flask_login import login_required
    
    
    class DashboardView(AdminIndexView):
        @login_required
        def _handle_view(self, name, **kwargs):
            # the magic lives in the _handle_view function.
            # inside here, you can check if the user is authenticated, etc.
    
            super(DashboardView, self)._handle_view(name, **kwargs)
    

    我实际上只是从我之前实现的一些代码中得到了这个。但是会发生的是 AdminIndexView 是 /admin 路由的视图。 _handle_view 函数在用户访问 /admin 路由时执行。考虑到这一点,您可以使用 current_user 对象进行重定向和其他操作

    docs

    【讨论】:

    • 您能否对此答案添加一些解释?虽然只有代码的答案是可以的,但一些解释可能会帮助读者更好地理解您的代码。
    猜你喜欢
    • 1970-01-01
    • 2016-01-10
    • 1970-01-01
    • 2014-01-25
    • 2012-09-15
    • 1970-01-01
    • 2021-07-18
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多