12、用户角色

1、用户在数据库中的表示

app/models.py  修改roles表，添加角色的权限

只要有一个角色的defalut字段要设为True，其他都设为False。用户注册时，其角色会被设为默认角色

添加了permissions字段，其值是一个整数，表示位标志，各个操作都对应一个位位置，能执行某项操作的角色，其位会被设为1

class Role(db.Model):
    __tablename__ = 'roles'
    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.String(64), unique=True)
    default = db.Column(db.Boolean, default=False, index=True)
    permissions = db.Column(db.Integer)
    users = db.relationship('User', backref='role', lazy='dynamic')

    def __repr__(self):
        return '<Role %r>' %self.name

2、权限常量

各个操作所需的程序权限是不一样的。Flask中，各个操作如下所示，其中，操作的权限使用8位表示，现在只用了其中5位，其他3位可用于将来的补充

使用权限组织角色，在以后添加新角色时，只需执行不同的权限组合即可

app/models.py   添加权限常量

#权限常量
class Permission:
    FOLLOW = 0x01
    COMMENT = 0x02
    WRITE_ARTICLES = 0x04
    MODERATE_COMMENTS = 0x08
    ADMINSTER = 0x80

3、在数据库中使用创建角色

将角色添加到手动添加到数据库既耗时又容易出错，作为替代，我们在Role类中添加一个类方法，完成这个操作

app/models.py

insert_roles()函数并不直接创建新角色对象，而是通过角色名查找现有角色，然后再更新，只有当数据库中没有该角色时才会创建，这样以后更新了列表，就可以执行更新操作了。要想添加新角色，或者修改角色的权限，修改roles数组，再运行函数即可。

注：“匿名”角色不需要在数据库中表示出来，这个角色的作用就是为了表示不在数据库中的用户

#定义数据库模型
class Role(db.Model):
    __tablename__ = 'roles'
    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.String(64), unique=True)
    default = db.Column(db.Boolean, default=False, index=True)
    permissions = db.Column(db.Integer)
    users = db.relationship('User', backref='role', lazy='dynamic')

    #在数据库中创建角色
    @staticmethod
    def insert_roles():
        roles = {
            'User':(Permission.FOLLOW | Permission.COMMENT | Permission.WRITE_ARTICLES, True),
            'Moderator': (Permission.FOLLOW | Permission.COMMENT | Permission.WRITE_ARTICLES | Permission.MODERATE_COMMENTS, False),
            'Administrator': (0xff, False)
        }
        for r in roles:
            role = Role.query.filter_by(name=r).first()
            if role is None:
                role = Role(name=r)
            role.permissions = roles[r][0]
            role.default = roles[r][1]
            db.session.add(role)
        db.session.commit()

    def __repr__(self):
        return '<Role %r>' %self.name

若想把角色写入数据库，可使用shell会话：

3、赋予角色

app/models.py  定义默认的用户角色

大多数用户在注册时赋予的角色都是“用户”，因为这是默认角色

管理员在最开始就被赋予“管理员”角色

管理员由设置变量FLASKY_ADMIN中的电子邮件地址识别，只要这个电子邮件地址出现在注册请求中，就会被赋予正确的角色

class User(UserMixin, db.Model):
    __tablename__ = 'users'
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(64), unique=True, index=True)
    role_id = db.Column(db.Integer, db.ForeignKey('roles.id'))
    password_hash = db.Column(db.String(128))
    email = db.Column(db.String(64), unique=True, index=True)
    #确认用户账户
    confirmed = db.Column(db.Boolean, default=False)
    
    #定义默认的用户角色
    def __init__(self, **kwargs):
        super(User, self).__init__(**kwargs)
        if self.role is None:
            if self.email == current_app.config['FLASKY_ADMIN']:
                self.role = Role.query.filter_by(permission=0xff).first()
            if self.role is None:
                self.role = Role.query.filter_by(default=True).first()
    
    def generate_confirmation_token(self, expiration=3600):
        s = Serializer(current_app.config['SECRET_KEY'], expiration)
        return s.dumps({'confirm': self.id})

    def confirm(self, token):
        s = Serializer(current_app.config['SECRET_KEY'])
        try:
            data = s.loads(token)
        except:
            return False
        if data.get('confirm') != self.id:
            return False
        self.confirmed = True
        db.session.add(self)
        return True

    #在User模型中加入密码散列
    @property
    def password(self):
        raise AttributeError('password is not a readable attribute')

    @password.setter
    def password(self, password):
        self.password_hash = generate_password_hash(password)

    def verify_password(self, password):
        return check_password_hash(self.password_hash, password)

    def __repr__(self):
        return '<User %r>' %self.username

4、角色验证

为简化角色和权限的实现过程，在User模型中添加一个辅助方法，检查是否有指定的权限

app/models.py   检查用户是否有指定的权限

User模型中添加的can（）方法在请求和赋予角色这两种权限之间进行位与操作

如果用户中包含请求的所有权限位，则返回True，表示允许用户执行此项操作。

from flask_login import UserMixin, AnonymousUserMixin

#..........
class User(UserMixin, db.Model):
    #......
    #检查用户是否有指定的权限
    def can(self, permissions):
        return self.role is not None and (self.role.permissions & permissions) == permissions

    def is_administrator(self):
        return self.can(Permission.ADMINSTER)

    def generate_confirmation_token(self, expiration=3600):
        s = Serializer(current_app.config['SECRET_KEY'], expiration)
        return s.dumps({'confirm': self.id})


class AnonymousUser(AnonymousUserMixin):
    def can(self, permissions):
        return False

    def is_administrator(self):
        return False

login_manager.anonymous_user = AnonymousUser

4、检查用户权限的自定义修饰器

app/decorators.py

这两个修饰器使用了functools包，如果用户不具有指定权限，则返回403错误，即HTTP“禁止”错误

from functools import wraps
from flask import abort
from flask_login import current_user
from .models import Permission

def permission_required(permission):
    def decorator(f):
        @wraps(f)
        def decorated_function(*args, **kwargs):
            if not current_user.can(permission):
                abort(403)
            return f(*args, **kwargs)
        return decorator

def admin_required(f):
    return permission_required(Permission.ADMINSTER)(f)

下面示例这些修饰器的使用方法

from decorators import admin_required, permission_required
from .models import Permission

@main.route('/admin')
@login_required
@admin_required
def for_admins_only():
    return "For administrators!"

@main.route('/moderator')
@login_required
@permission_required(Permission.MODERATE_COMMENTS)
def for_moderators_only():
    return "For comment moderators!"

模板中可能也需要检查权限，所以 Permission 类为所有位定义了常量以便于获取。为了避免每次调用 render_template() 时都多添加一个模板参数，可以使用上下文处理器。上下文处理器能让变量在所有模板中全局可访问
修改

app/main/__init__.py  把Permission类加入模板上下文

@main.app_context_processor
def inject_permission():
    return dict(Permission=Permission)