在 Jinja2 模板中隐藏不可访问的链接

Question

我们正在工作中用 Flask + Jinja2 编写一个 Web 应用程序。 该应用程序已注册用户，这些用户可以根据他们的角色访问某些页面。为了在服务器端实现这一点，我们只需使用装饰页面：

@app.route('/action1')
@security_requirements(roles=['some_role'])
def action1():
    ...

装饰器检查登录用户的角色列表中是否有“some_role”，并决定是将调用传递给装饰函数还是将用户重定向到“拒绝访问”页面。

该应用程序还有一个使用引导程序实现的导航栏。导航栏使用基本模板显示在每个页面中。就目前而言，应用程序中的每个页面在导航栏中都有一个条目，无论当前用户是否可以访问它。尽管这不是一个安全漏洞，但我想隐藏他们无法访问的用户页面。此外，我想在不复制 Jinja 模板中允许的角色列表的情况下实现此功能。是否可以通过使用我当前的装饰器以某种方式在 Jinja 中实现此功能？

Answer 1

我使用Flask-Security，它将许多登录/安全模块捆绑在一个漂亮的包中。它带有 Flask-Principal 提供的角色管理功能，您可以这样做：

{% if current_user.has_role('admin') %}
    <li><a href="#">Manage Site</a></li>
{% endif %}

你可以see how that's implemented in the source，current_user代理来自Flask-Login

Answer 2

我将 security_requirements 装饰器更改为如下所示：

def security_requirements(logged_in=True,
                          roles=None):
def wrapper(f):
    # Store the security attributes as a member of the function object
    f.access_control = dict(logged_in=logged_in, roles=roles)
    @functools.wraps(f)
    def wrapped(*args, **kwargs):
        access_result = _eval_access(logged_in, roles)
        # Redirect the user to the appropriate page (Access denied / Login Required / Actual Page) based on the result
        ...

这个装饰器与之前版本的唯一真正区别是在函数对象中存储安全属性的行。这条线在装饰器内部是无用的。但是，现在我可以实现从 Jinja 模板调用的以下操作：

{% if can_access(func) %}
<li><a>...</a></li>
{% endif %}

can_access 函数在 Flask 应用程序模块中定义。它接收一个必须转换为函数对象的字符串。它通过调用app.view_functions：

def can_access(func):
    return auth.can_access(app.view_functions[func])

这个函数应该直接从 Jinja 模板调用。所以需要添加到 Jinja 的全局变量中：

app.jinja_env.globals.update(can_access=can_access)

最后，auth.can_access：

def can_access(f):
    if not hasattr(f, 'access_control'):
        return True

    # Use the access_control member set by the decorator
    return _eval_access(**f.access_control) == AccessResult.ALLOWED

这个解决方案意味着访问控制被定义在一个地方——就是函数装饰器。