python – Pyramid中基于动态用户的授权

发布时间：2020-10-19 17:23:29 所属栏目：Python 来源：互联网

导读：我跟随 security guidelines found on Pyramid docs以及wiki教程 Adding Authorization 现在我需要添加基于非单个用户而不是组的限制. 例如,假设任何博客编辑者都有权审阅所有评论,那么只有帖子作者可以编辑帖子本身. 对于我将在根ACL中执行的第一项任务,如下

我跟随 security guidelines found on Pyramid docs以及wiki教程 Adding Authorization

现在我需要添加基于非单个用户而不是组的限制.

例如,假设任何博客编辑者都有权审阅所有评论,那么只有帖子作者可以编辑帖子本身.

对于我将在根ACL中执行的第一项任务,如下所示：

__acl__ = [ (Allow,Everyone,'view'),(Allow,Authenticated,'view_profile'),'groups:editor','edit_comment')
]

但是对于edit_post来说呢？

我已经阅读了this answer,但由于我不需要构建资源树,因此对我的需求似乎有些过分.

解决方法

你可能会让这太复杂了.首先,如果访问者是帖子的作者,则仅显示指向edit_post视图的链接.这将解决99％的问题,使该视图对于不应该看到它的人来说是不可见的.对于其他1％ – 聪明的用户手动编辑URL以直接访问编辑视图 – 添加如下内容：

def edit_post(request):
    ...
    if authenticated_userid(request) != author:
        raise pyramid.httpexceptions.HTTPForbidden("You are not this post's author.")

（编辑：莱芜站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!