权限当然就是让有应该权限的用户能执行某些操作,把没有权限的用户限制在外面。Flask-admin提供了几种方法来处理:
1, Http basic Auth
最简单的身份验证形式是HTTP基本身份验证。 它不会干扰你的数据库模型,也不需要你编写任何新的视图逻辑或模板代码。 所以,当你还在权限开发中,可以考虑作为一个测试的功能;或者可以简单运用于单用户的应用。
你可以参考https://flask-basicauth.readthedocs.io/en/latest/
但是这个组件无法一个登录界面整合到flask-admin中,功能也太简陋了。
2,自己集成权限框架(flask-login 或者 flask-httpAuth)
Flask 提供了一些访问规则允许你自己去定义一些访问的实现,你可以自己写,也可以集成想flask-login这些低层次的框架,然后自己实现访问控制。Flask-admin提供以下的实例:
class MicroBlogModelView(sqla.ModelView): def is_accessible(self): return login.current_user.is_authenticated def inaccessible_callback(self, name, **kwargs): # redirect to login page if user doesn‘t have access return redirect(url_for(‘login‘, next=request.url))
具体的例子,可以查看 https://github.com/flask-admin/Flask-Admin/tree/master/examples/auth-flask-login.
使用这些底层次的框架的缺点就是要自己去实现所有的细节。
3,使用flask-sercurity
如果你想要一个更加精美的解决方案,你可以使用Flask-Security,它是一个更高级的库。 它具有许多内置的视图,用于执行用户注册,登录,电子邮件地址确认,密码重置等常见的功能。
唯一复杂的就是使内置的Flask-Security视图与Flask-Admin模板顺利集成,以达到一致性的用户体验。 为此,您需要覆盖内置的Flask-Security模板,并通过将以下内容添加到每个文件的顶部来扩展Flask-Admin基本模板:
{% extends ‘admin/master.html‘ %}
现在,您需要手动传递Flask-Admin模板的一些上下文变量,以便从Flask-Security视图调用时页面能正确呈现。 定义一个security_context_processor函数将为你处理这个问题:
def security_context_processor(): return dict( admin_base_template=admin.base_template, admin_view=admin.index_view, h=admin_helpers, )
具体可以查看例子:
https://github.com/flask-admin/Flask-Admin/tree/master/examples/auth.
该示例只使用内置的注册和登录视图,但是您可以按照相同的方法来包含其他视图,例如忘记密码,发送验证邮件等。