目前,夏娃V0.4支持通过“auth_field”用户限制资源访问,但它似乎被设计成自动处理单个所有者的情况下。
你将如何实现多用户接入的限制,其中允许用户查看资源,如果自己的身份证被列入允许一组ID? 可能与单独的读取和写入权限多个列表。
Answer 1:
我写了一个小黑客为EVE这是增加这个功能。 也许这是一个有点棘手,但它的作品。
您需要更新您的FDEC功能auth.py为EVE:
def fdec(f):
@wraps(f)
def decorated(*args, **kwargs):
if args:
# resource or item endpoint
resource_name = args[0]
resource = app.config['DOMAIN'][args[0]]
if endpoint_class == 'resource':
public = resource['public_methods']
roles = resource['allowed_roles']
if request.method in ['GET', 'HEAD', 'OPTIONS']:
roles += resource['allowed_read_roles']
else:
roles += resource['allowed_write_roles']
elif endpoint_class == 'item':
public = resource['public_item_methods']
roles = resource['allowed_item_roles']
if roles and isinstance(roles, str):
items = app.data.driver.db[args[0]]
item = items.find_one(kwargs)
roles = item[roles]
if request.method in ['GET', 'HEAD', 'OPTIONS']:
roles += resource['allowed_item_read_roles']
else:
roles += resource['allowed_item_write_roles']
if callable(resource['authentication']):
auth = resource['authentication']()
else:
auth = resource['authentication']
else:
# home
resource_name = resource = None
public = app.config['PUBLIC_METHODS'] + ['OPTIONS']
roles = app.config['ALLOWED_ROLES']
if request.method in ['GET', 'OPTIONS']:
roles += app.config['ALLOWED_READ_ROLES']
else:
roles += app.config['ALLOWED_WRITE_ROLES']
auth = app.auth
if auth and request.method not in public:
if not auth.authorized(roles, resource_name, request.method):
return auth.authenticate()
return f(*args, **kwargs)
return decorated
return fdec
正如你可以看到我添加了一个条件:如果isinstance(角色,STR)的想法是,当你把一个字符串allowed_roles,而不是名单就意味着你指向一个领域在这个项目,其中包含用户的列表。 因此,例如我有未来计划和团体的定义:
definition = {
'url': 'groups',
'item_title': 'group',
# only admins and apps are allowed to consume this endpoint
'cache_control': '',
'cache_expires': 0,
'id_field': 'url',
'schema': _schema,
'allowed_item_roles': 'users',
'additional_lookup': {
'url': 'regex("[\w]+")', # to be unique
'field': 'url',
},
}
_schema = {
'name': required_string, # group name
'url': unique_string, # group url - unique id
'users': { # list of users, who registered for this group
'type': 'list',
'scheme': embedded_object('accounts')
},
'items': { # list of items in the group
'type': 'list',
'scheme': embedded_object('items'),
},
'owner': embedded_object('accounts'),
'secret': {'type': 'string'}
}
所以你可以看到我有一个用户列表,这是我的帐户嵌入对象。 下一步是更新角色的认证。 现在,应该是这样的:
def check_auth(self, token, allowed_roles, resource, method):
accounts = app.data.driver.db['accounts']
lookup = {'token': token}
if allowed_roles:
# only retrieve a user if his roles match ``allowed_roles``
lookup['username'] = {'$in': allowed_roles}
account = accounts.find_one(lookup)
if account and 'username' in account:
self.set_request_auth_value(account['username'])
if account:
self.request_auth_value = account['username']
return account is not None
因此,它会检查是否用户名是在允许的角色或没有。 最后一步是在EVE更新flaskapp.py支持allowed_roles串
def validate_roles(self, directive, candidate, resource):
""" Validates that user role directives are syntactically and formally
adeguate.
:param directive: either 'allowed_[read_|write_]roles' or
'allow_item_[read_|write_]roles'.
:param candidate: the candidate setting to be validated.
:param resource: name of the resource to which the candidate settings
refer to.
.. versionadded:: 0.0.4
"""
roles = candidate[directive]
if not (isinstance(roles, list) or isinstance(roles, str)):
raise ConfigException("'%s' must be list"
"[%s]." % (directive, resource))
反正它仍然是一个解决办法,我不知道它会工作快速,可靠的,当你将有上千个项目的用户,但对于用户少量它的工作原理。
希望这将有助于
Answer 2:
限制用户资源访问本质上是透明的存储谁与文档本身一起创建文档的用户的ID的机制。 当用户回来,他只看到了端点/编辑自己的文件。 你会如何分配多个“业主”的文档被存储时?
你有没有为基于角色的访问控制 ? 它确实你问什么,但在端点(不是文件)的水平。
文章来源: Multi-User Restricted Access with Python Eve
