flask-restful API 访问权限

营养快线

一路 Ctrl+C   Ctrl+V 过来发现没的 Ctrl 了

接口数据是这样的

1.     rs = {
   
2.         "id":fields.Integer,
   
3.         "name":fields.String,
   
4.         "url":fields.String,
   
5.         "status":fields.Integer,
   
6.         "pic":fields.String,
   
7.         "cate":fields.Nested({
   
8.             "name":fields.String
   
9.         }),
   
10.         "topic":fields.Nested({
    
11.             "name":fields.String
    
12.         }),
    
13.         "permission":fields.Integer
    
14.     }

复制代码

测试的时候使用装饰器限制访问图片地址来实现权限控制，正式开始写了发现有大问题，Permission是权限，不是角色，这样限制的是整个路由的权限，跟图片一点关系都没有

1. @api_bp.route("/images/<filename>")
   
2. @jwt_required
   
3. @permission_required(Permission.VIP2)
   
4. @limiter.limit("5/minute", exempt_when=getuser)    # 解除高级别用户组接口调用限制
   
5. def get_image(filename):
   
6.     # current_app.logger.error("ERROR!!!!!")
   
7.     basepath = os.getcwd()
   
8.     upload_path = os.path.join(basepath, 'upload/image/')
   
9.     return send_from_directory(upload_path, filename)

复制代码

想问下大佬们这玩意一般咋限制？
如果通过get 请求时查询 video.permission返回不同数据，这样没权限的话连图片都看不到。
抓包了几个app接口全加密的，啥都瞅不见。

ansheng

DRF一把梭

营养快线

ansheng 发表于 2020-4-11 14:31
DRF一把梭

刚开始本来想学django 的，没找到合适的视频，用flask一路东拼西凑