2

我正在尝试使用 Flask-HTTPAuth 创建一个具有基本身份验证的两层身份验证系统。我的应用程序有两个路由,一个基本路由 at/可供任何登录用户访问,一个管理路由 at/admin仅供(如您所料)以管理员身份登录的用户访问。

所以我决定通过链接装饰器来实现这一点,代码的相关部分如下(其中 dbops 只是一个处理与数据库对话的命名空间):

@auth.verify_password
def verify_pw(lastname, password):
    ln = lastname.lower()
    if ln in dbops.list_users():
        hashed_pw = dbops.find_hashed_password(ln)
        return bcrypt.checkpw(password.encode('utf8'), hashed_pw.encode('utf8'))
    return False

def must_be_admin(f):
    @wraps(f)
    def wrapper(*args, **kwargs):
        if dbops.is_admin(auth.username()):
            return f(*args, **kwargs)
        return "Not authorized."
    return wrapper

@core.route("/")
@auth.login_required
def dataentry():
    return render_template("dataentry.html")

@core.route("/admin")
@must_be_admin
@auth.login_required
def admin():
    return render_template("admin.html")

只要尝试以管理员用户身份登录的任何人首先访问该/路由,这就可以正常工作:它会提示输入用户名和密码,然后管理员用户可以转到/admin并执行登录的管理员任务。

但是,如果管理员用户第一次访问/admin它不会给出登录提示。它只是抛出,在调试器中四处寻找之后,我确定它auth.username()返回一个空字符串。所以,我的猜测是,由于某种原因,内部装饰器没有被应用,因此缺少登录提示。

有谁知道这里可能会发生什么?

我的第一个假设是这是一个简单的错误,因为直到is_admin检查之后才调用管理装饰器的内部函数。因此,我尝试auth.username()在检查之前修复我调用该函数的问题——因此可能使其可用——如下:

def must_be_admin(f):
    @wraps(f)
    def wrapper(*args, **kwargs):
        dummy_to_get_username = f(*args, **kwargs)
        if dbops.is_admin(auth.username()):
            return dummy_to_get_username
        return "Not authorized."
    return wrapper

但这只是导致了同样的行为。

我从之前的 SO中看到,库作者推荐的方法是创建两个单独的 Flask-HTTPAuth 对象。我能做到的,没问题。但很明显,我关于装饰器如何工作的心理模型失败了,所以我想独立于获得我想要工作的功能来解决这个问题......

4

1 回答 1

2

在不知道装饰器做什么的情况下,有时很难弄清楚应用装饰器的正确顺序,但不幸的是,错误的顺序会使应用程序行为不正确。

对于在视图函数运行“之前”执行某些操作的装饰器,在这种情况下,您通常必须按照您希望它们执行的顺序放置装饰器。因此,我认为当您在以下代码login_required之前使用 Flask-HTTPAuth 时,您的代码将符合您的预期must_be_admin

@core.route("/admin")
@auth.login_required
@must_be_admin
def admin():
    return render_template("admin.html")

这样会先检查凭据,如果丢失或无效login_required会向浏览器返回401错误,从而出现登录提示。只有在凭据被确定为有效之后,您才需要评估管理员装饰器。

于 2017-12-16T03:21:38.747 回答