1

应该如何正确地查看只返回属于请求它们的用户的对象的 API?

api/version/items/<items_id>

或者

api/version/user/<user_id>/items/<items_id>

在第一种情况下,服务器使用从其身份验证中获得的用户 ID 查询数据库。

我不知道如何在 Flask-restless 中创建这两种情况。我认为预处理器会很有用,我可以从授权(JWT 令牌)中获取 user_id,但我找不到将其用作 DB 搜索参数的方法。

from flask_jwt import JWT, jwt_required, current_user
...
manager.create_api(Item,
               methods=['GET'],
               collection_name='items',
               url_prefix='/api',
               preprocessors=dict(GET_SINGLE=[api_auth],GET_MANY=[api_auth]))   


@jwt_required()
def api_auth(*args, **kwargs):
    user_id = current_user.id
    # some code with user id addition.
    pass
4

2 回答 2

0

您应该使用直接引用您尝试查询的资源的端点。例如:

api/version/items

您应该分别定义一个get_singleget_many预处理器。应该使用instance_id单个(整数)和result多个预处理器的参数(字典)来定义返回给用户的内容。

来自Flask-restless 文档

那些接受字典作为参数的预处理器和后处理器可以(并且应该)就地修改它们的参数。这意味着对结果字典所做的更改将被 Flask-Restless 视图函数看到并最终返回给客户端。

因此,在您的预处理器中,您可以执行以下操作来检索数据库中的项目(在与用户的关系中定义):

@jwt_required()
def api_auth_get_many(instance_id=None, *args, **kwargs):
    user_id = current_user.id

    if instance_id in User.query.get(user_id).items:
        pass
    else:
        instance_id = None    # Do not return the value if not permitted

@jwt_required()
def api_auth_get_many(result=None, *args, **kwargs):
    user_id = current_user.id
    result = User.query.get(user_id).items   # Return all items allowed for user
于 2015-11-12T17:04:11.417 回答
0

预处理器将是您构建查询对象的地方。我认为项目的端点应该看起来很简单:

api/version/items

但是在预处理器中,您将构建一个查询对象,该对象将随请求一起传递:

GET api/version/items?q={"filters":[{"name":"userid","op":"eq","val":10}]}
于 2015-09-23T18:32:58.590 回答