当我使用 roles_required 装饰器时,为什么 SECURITY_UNAUTHORIZED_VIEW 配置选项没有重定向我?
Why isn't the SECURITY_UNAUTHORIZED_VIEW config option redirecting me when I use the roles_required decorator?
当我使用 @roles_required 装饰器但没有所需的角色时,我不会被重定向到设置页面。事实上,我根本没有被重定向,但是当我手动注销并被重定向到 /login 时,它会显示我应该收到的所有错误消息。
以下是我为获得该行为所做的工作:
- 登录为 user@dummy.net /login(角色 = 最终用户)
- Flask-Security 将我重定向到主页 ('/')
- 我正在尝试访问具有 @roles_required('admin') 装饰器的 /authtest。
- 没有任何反应,我留在首页。
- 我通过 /logout 注销并被重定向到 /login
- 登录页面显示消息:
- 您没有权限查看此资源。
- 请登录以访问此页面。
这两条消息中的第一条可能是对我尝试访问 /authtest 的回复,第二条是因为 /logout 将我重定向到主页,由于 /login_required装饰器。
我不明白的是为什么首页第4步没有显示无权限信息
代码主要取自 flask-security 快速入门示例:
from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_security import Security, SQLAlchemyUserDatastore, \
UserMixin, RoleMixin, login_required, roles_required
# Create app
app = Flask(__name__)
app.config['DEBUG'] = True
app.config['SECRET_KEY'] = 'super-secret'
app.config['SECURITY_PASSWORD_SALT'] = 'super-secret-salt'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///mdb.db'
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
app.config['SECURITY_UNAUTHORIZED_VIEW'] = '/redir'
# Create database connection object
db = SQLAlchemy(app)
# Define models
roles_users = db.Table('roles_users',
db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))
class Role(db.Model, RoleMixin):
id = db.Column(db.Integer(), primary_key=True)
name = db.Column(db.String(80), unique=True)
description = db.Column(db.String(255))
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(255), unique=True)
password = db.Column(db.String(255))
active = db.Column(db.Boolean())
confirmed_at = db.Column(db.DateTime())
roles = db.relationship('Role', secondary=roles_users,
backref=db.backref('users', lazy='dynamic'))
# Setup Flask-Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)
# Create some testusers
@app.before_first_request
def create_user():
db.create_all()
# Create the Roles "admin" and "end-user" -- unless they already exist
user_datastore.find_or_create_role(name='admin', description='Administrator')
user_datastore.find_or_create_role(name='end-user', description='End user')
# Create some default users if they don't exist already
if not user_datastore.get_user('admin@dummy.net'):
user_datastore.create_user(email='admin@dummy.net', password='pass')
if not user_datastore.get_user('user@dummy.net'):
user_datastore.create_user(email='user@dummy.net', password='pass')
# Commit any database changes; the User and Roles must exist before we can add a Role to the User
db.session.commit()
# Assign the admin role to the created user
user_datastore.add_role_to_user('admin@dummy.net', 'admin')
user_datastore.add_role_to_user('user@dummy.net', 'end-user')
db.session.commit()
# Views
@app.route('/')
@login_required
def home():
return render_template('index.html')
@app.route('/authtest')
@roles_required('admin')
def authtest():
return render_template('authtest.html')
@app.route('/redir')
def redir():
return render_template('redir.html')
if __name__ == '__main__':
app.run(host='127.0.0.1', port=8080, debug=True)
这是 flask-security 中的一个错误,请参阅:
https://github.com/mattupstate/flask-security/issues/677
这个修复它的 PR 从未被合并:
https://github.com/mattupstate/flask-security/pull/726
这已在我维护的叉子中得到修复,网址为:
https://pypi.org/project/Flask-Security-Too/
我可以提供的唯一解决方法是定义您自己的 security.unauthorized_callback 并在那里执行重定向。
当我使用 @roles_required 装饰器但没有所需的角色时,我不会被重定向到设置页面。事实上,我根本没有被重定向,但是当我手动注销并被重定向到 /login 时,它会显示我应该收到的所有错误消息。
以下是我为获得该行为所做的工作:
- 登录为 user@dummy.net /login(角色 = 最终用户)
- Flask-Security 将我重定向到主页 ('/')
- 我正在尝试访问具有 @roles_required('admin') 装饰器的 /authtest。
- 没有任何反应,我留在首页。
- 我通过 /logout 注销并被重定向到 /login
- 登录页面显示消息:
- 您没有权限查看此资源。
- 请登录以访问此页面。
这两条消息中的第一条可能是对我尝试访问 /authtest 的回复,第二条是因为 /logout 将我重定向到主页,由于 /login_required装饰器。 我不明白的是为什么首页第4步没有显示无权限信息
代码主要取自 flask-security 快速入门示例:
from flask import Flask, render_template
from flask_sqlalchemy import SQLAlchemy
from flask_security import Security, SQLAlchemyUserDatastore, \
UserMixin, RoleMixin, login_required, roles_required
# Create app
app = Flask(__name__)
app.config['DEBUG'] = True
app.config['SECRET_KEY'] = 'super-secret'
app.config['SECURITY_PASSWORD_SALT'] = 'super-secret-salt'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///mdb.db'
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False
app.config['SECURITY_UNAUTHORIZED_VIEW'] = '/redir'
# Create database connection object
db = SQLAlchemy(app)
# Define models
roles_users = db.Table('roles_users',
db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))
class Role(db.Model, RoleMixin):
id = db.Column(db.Integer(), primary_key=True)
name = db.Column(db.String(80), unique=True)
description = db.Column(db.String(255))
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(255), unique=True)
password = db.Column(db.String(255))
active = db.Column(db.Boolean())
confirmed_at = db.Column(db.DateTime())
roles = db.relationship('Role', secondary=roles_users,
backref=db.backref('users', lazy='dynamic'))
# Setup Flask-Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)
# Create some testusers
@app.before_first_request
def create_user():
db.create_all()
# Create the Roles "admin" and "end-user" -- unless they already exist
user_datastore.find_or_create_role(name='admin', description='Administrator')
user_datastore.find_or_create_role(name='end-user', description='End user')
# Create some default users if they don't exist already
if not user_datastore.get_user('admin@dummy.net'):
user_datastore.create_user(email='admin@dummy.net', password='pass')
if not user_datastore.get_user('user@dummy.net'):
user_datastore.create_user(email='user@dummy.net', password='pass')
# Commit any database changes; the User and Roles must exist before we can add a Role to the User
db.session.commit()
# Assign the admin role to the created user
user_datastore.add_role_to_user('admin@dummy.net', 'admin')
user_datastore.add_role_to_user('user@dummy.net', 'end-user')
db.session.commit()
# Views
@app.route('/')
@login_required
def home():
return render_template('index.html')
@app.route('/authtest')
@roles_required('admin')
def authtest():
return render_template('authtest.html')
@app.route('/redir')
def redir():
return render_template('redir.html')
if __name__ == '__main__':
app.run(host='127.0.0.1', port=8080, debug=True)
这是 flask-security 中的一个错误,请参阅: https://github.com/mattupstate/flask-security/issues/677 这个修复它的 PR 从未被合并: https://github.com/mattupstate/flask-security/pull/726
这已在我维护的叉子中得到修复,网址为: https://pypi.org/project/Flask-Security-Too/
我可以提供的唯一解决方法是定义您自己的 security.unauthorized_callback 并在那里执行重定向。