balrog 1.1.0

安装

pip install balrog

用法

需要权限才能访问资源或执行操作。权限分组在角色中，角色分组在策略中。

检查权限的入口点是策略。定义一个策略实例并指定与其一起工作的角色列表。

项目可以包含多个用于不同目的的策略。

权限声明

import balrog
from flask import request

def get_identity(*args, **kwargs):
"""Get current user."""
    # Flask request wrapper implements the ``user`` property
    return request.user

def get_role(identity, *args, **kwargs):
"""Get current identity role."""
    # User.role is a property of the ORM User model
    return identity.role


read = balrog.Permissions(name="article.read")
post = balrog.Permissions(name="article.post")
comment = balrog.Permissions(name="article.comment")

anonymous = balrog.Role(
    name="anonymous",
    permissions=[read],
)
"""Anonymous visitors can read articles."""

user = balrog.Role(
    name="user",
    permissions=[read, comment],
)
"""User accounts can read and comment articles."""

author = balrog.Role(
    name="author",
    permissions=[read, post, comment],
)
"""Author accounts can read, create and comment articles."""

policy = balrog.Policy(
    roles=[anonymous, user, author],
    get_identity=get_identity,
    get_role=get_role,
    permissions=[read, post, comment]
)

权限检查

# ...
policy = balrog.Policy(roles=[anonymous, user, author], get_identity=get_identity, get_role=get_role)
policy.check("article.comment")

过滤集合

articles = session.query(Article)
my_articles = policy.filter("article.view", objects=articles)

每个角色都是一组权限的集合。除了包含在角色权限之外，权限还可以实现更详细的检查和过滤逻辑。

权限

权限具有唯一的名称（在角色内），反映了您想要对此资源执行的操作。

import balrog

eat = balrog.Permission(name="cucumber.eat")
happy = balrog.Permission(name="be-happy")

名称只是一个字符串标识符，您使用它来请求策略进行权限检查。名称格式规范可以由每个项目自行决定。

权限有两个方法：check 和 filter。默认情况下，check 方法实现为 True，filter 方法简单地绕过对象。这些方法是控制对某些上下文、您的资源实例、检查白名单、从集合中过滤出当前认证身份无法查看的对象等额外机会。

角色

角色在策略内具有唯一的名称。角色名称由认证身份确定，并在策略权限检查中隐式使用。

角色是一组权限的集合，用于定义角色并启用系统中的某些工作流程。

当系统很大并且声明了大量的特定权限时，有时从角色中授予所有权限而不是子类化角色类更容易。

import balrog


class Admin(balrog.Role):

    def check(self, identity, permission, *args, **kwargs):
        return True

策略

策略用作项目中权限检查的入口点。它封装了定义工作流程的角色。项目中可能存在多个策略实例。

除了角色外，策略还需要一些配置和后端实现。

from flask import request

def get_identity(*args, **kwargs):
"""Get current user."""
    # Flask request wrapper implements the ``user`` property
    return request.user

def get_role(identity, *args, **kwargs):
"""Get current identity role."""
    # User.role is a property of the ORM User model
    return identity.role

if not policy.check("article.read", article=a):
    flask.abort("You can't access the article `{0}`".format(a.id))

articles = session.query(Article).filter_by(is_published=True)

my_articles = policy.filter("article.read", objects=articles)

import balrog

class ViewArticle(balrog.Permission);

    def filter(self, identity, objects, *args, **kwargs):
        """Filter out articles of the other users.

        :param identity: User object.
        :param objects: SQLAlchemy query.

        :returns: SQLAlchemy query with applied filtering.
        """
        return objects.filter_by(user_id=identity.id)

try:
    my_articles = policy.filter("article.read", objects=articles)
except balrog.PermissionNotFound:
    my_articles = []

policy.check("message.send", ip=ip_addr)

联系

如果您有任何问题、错误报告、建议等，请在该 GitHub 项目页面 上创建问题。

许可证

本软件受 MIT 许可证 许可。

见 许可证 更新日志 =========

1.1.0

• Policy 会跟踪所有权限，并在调用未知权限时引发 PermissionNotFound（hvdklauw）。

1.0.1

• 将上下文传递给 get_identity（olegpidsadnyi）

1.0.0

• 初始公共版本