谁能说出这三个扩展之间是否存在根本区别,或者它们都做类似的事情吗?我一直在阅读文档,似乎有很多交叉。我猜有些只是提供更多功能。
我想将用户角色添加到我的应用程序中,以便某些用户具有某些权限。即level1 用户可以创建5 个资源,level2 用户可以创建10 个等等。我一直在考虑滚动我自己的,看起来并不太棘手。我正在考虑按照http://flask.pocoo.org/snippets/98/的思路使用装饰器,这个解决方案会有任何安全问题吗?我已经在使用 Flask-login,所以我会将它与它集成。
Flask-Auth 是身份验证和权限的单一解决方案,但我没有看到它使用/引用太多。
Flask-Principal 会做你想做的事,但它很简单;滚动你自己的工作不会更多。
Flask-Security 将 Flask-Login、-Principal 和其他一些扩展整合成一个更加连贯的整体,将它们作为依赖项安装。尽可能使用它提供的方法,而不是来自各个扩展的方法。我没有使用它,但它似乎需要大量的体力劳动。
对于您只需要添加用户角色的特定用例,我建议您坚持使用 Flask-Principal。它运行良好,得到维护,并且足够通用,可以与您的任何要求集成。
一般来说,它们都相似,但其中一些具有比其他更多的功能。例如,Flask-Security 非常重,有很多额外的安全功能,比如额外的加密。事实上,Flask-Security 包括 Flask-Principal 作为一个子集。Flask-Principal 可以使用 Flask-Login 进行身份验证,即使这只是一种选择。所以你可以看到它们都是相关的,但有些是彼此的子集或超集。
现在,在您的特定情况下,您已经在使用非常棒的 Flask-Login。如果您需要添加 Flask-Login 不支持的用户角色,我建议您扩展您的用户模型以添加角色列,然后覆盖 login_required 装饰器。如果您尝试使用 Flask-Security 等扩展程序,在您的情况下可能会有点过分。
例如,我将使用角色字段扩展我的 User 类。它可以有值“ANY”、“ADMIN”等。ANY 表示无关紧要。
class User(UserMixin):
def get_role():
return rolename
然后,我将 login_required 装饰器覆盖为:
def login_required(role="ANY"):
def wrapper(fn):
@wraps(fn)
def decorated_view(*args, **kwargs):
if not current_user.is_authenticated():
return current_app.login_manager.unauthorized()
urole = current_user.get_role()
if ( (urole != role) and (role != "ANY")):
logout_user()
return current_app.login_manager.unauthorized()
return fn(*args, **kwargs)
return decorated_view
return wrapper