热点
站长心得:网站设计中的色彩心理学应用
站长揭秘:优质内容的创作与发布技巧
站长教程:如何使用网站分析工具提升运营效率?
站长聚焦:新网站推广策略探讨
站长分析:网站流量来源与优化策略
MySQL视图优化教程:提高视图查询性能的技巧
MySQL查询优化技巧教程:编写高效SQL语句的诀窍(续)
MySQL分表分库教程:解决单一数据库瓶颈的方法
MySQL内存存储引擎教程:了解MEMORY存储引擎的特点和使用场景(续)
MySQL在移动应用开发中的应用教程:如何与iOS、Android等平台集成
4 5 月 2025, 周日
Python

python – Pyramid中基于动态用户的授权

由 dawei 没有评论 #pyramid #python # #动态 #基于 #

我跟随
security guidelines found on Pyramid docs以及wiki教程
Adding Authorization

现在我需要添加基于非单个用户而不是组的限制.

例如,假设任何博客编辑者都有权审阅所有评论,那么只有帖子作者可以编辑帖子本身.

对于我将在根ACL中执行的第一项任务,如下所示:

__acl__ = [ (Allow,Everyone,'view'),(Allow,Authenticated,'view_profile'),'groups:editor','edit_comment')
]

但是对于edit_post来说呢?

我已经阅读了this answer,但由于我不需要构建资源树,因此对我的需求似乎有些过分.

解决方法

你可能会让这太复杂了.首先,如果访问者是帖子的作者,则仅显示指向edit_post视图的链接.这将解决99%的问题,使该视图对于不应该看到它的人来说是不可见的.对于其他1% – 聪明的用户手动编辑URL以直接访问编辑视图 – 添加如下内容: 

def edit_post(request):
    ...
    if authenticated_userid(request) != author:
        raise pyramid.httpexceptions.HTTPForbidden("You are not this post's author.")

dawei

【声明】:淮南站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

相关文章

Python

Python 2和3之间的类型差异

dawei
Python

在Python中处理不同类型的规范方法是什么?

dawei
Python

python – 覆盆子pi上的多个热电偶

dawei

您错过了

站长资讯

站长心得:网站设计中的色彩心理学应用

站长资讯

站长揭秘:优质内容的创作与发布技巧

站长资讯

站长教程:如何使用网站分析工具提升运营效率?

站长资讯

站长聚焦:新网站推广策略探讨