前端之家收集整理的这篇文章主要介绍了
python – Pyramid中基于动态用户的授权,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我跟随
security guidelines found on Pyramid docs以及wiki教程
Adding Authorization
现在我需要添加基于非单个用户而不是组的限制.
例如,假设任何博客编辑者都有权审阅所有评论,那么只有帖子作者可以编辑帖子本身.
对于我将在根ACL中执行的第一项任务,如下所示:
__acl__ = [ (Allow,Everyone,'view'),(Allow,Authenticated,'view_profile'),'groups:editor','edit_comment')
]
但是对于edit_post来说呢?
我已经阅读了this answer,但由于我不需要构建资源树,因此对我的需求似乎有些过分.
你可能会让这太复杂了.首先,如果访问者是帖子的作者,则仅
显示指向edit_post视图的
链接.这将
解决99%的问题,使该视图对于不应该看到它的人来说是不可见的.对于其他1% – 聪明的
用户手动编辑URL以直接访问编辑视图 –
添加如下
内容:
def edit_post(request):
...
if authenticated_userid(request) != author:
raise pyramid.httpexceptions.HTTPForbidden("You are not this post's author.")
原文链接:https://www.f2er.com/python/185638.html
