Question

我在DB中有相同的界面用于查看和使用Pyramid应用程序编辑它们。例如：

report表的查看记录路由示例：/birdreport/report/871;

report表的编辑记录路由示例：/birdreport/report/871/edit;

report表的每个记录都包含user_id的字段 - 该值与authenticated_userid函数返回的值相同。我很清楚如何通过添加查看权限来禁用对edit的访问。但是，我如何仅为那些用户ID在相应记录中显示的用户启用edit视图？

Answer 1

您可以在__acl__()模型中定义Report来使用Pyramid authorization policy。例如：

from sqlalchemy.orm import relationship, backref
from pyramid.security import Everyone, Allow

class Report(Base):
    # ...
    user_id = Column(Integer, ForeignKey('user.id'))
    # ...


    @property
    def __acl__(self):
        return [
            (Allow, Everyone, 'view'),
            (Allow, self.user_id, 'edit'),
        ]

    # this also works:
    #__acl__ = [
    #    (Allow, Everyone, 'view'),
    #    (Allow, self.user_id, 'edit'),
    #]

class User(Base):
    # ...
    reports = relationship('Report', backref='user')

上面的__acl__()版本允许所有人调用您的观看次数view，但只有与Report相关的用户才能edit。

您可能没有启用身份验证策略或授权策略，引用documentation：

使用配置程序的set_authorization_policy（）方法启用授权策略。

您还必须启用身份验证策略才能启用授权策略。这是因为授权通常取决于身份验证。在应用程序设置期间使用set_authentication_policy（）和方法指定身份验证策略。

from pyramid.config import Configurator
from pyramid.authentication import AuthTktAuthenticationPolicy
from pyramid.authorization import ACLAuthorizationPolicy
authentication_policy = AuthTktAuthenticationPolicy('seekrit')
authorization_policy = ACLAuthorizationPolicy()
config = Configurator()
config.set_authentication_policy(authentication_policy)
config.set_authorization_policy(authorization_policy)

上述配置启用了一个策略，用于比较请求环境中传递的“auth ticket”cookie的值，该值包含对单个主体的引用与尝试调用某些主体时在资源树中找到的任何ACL中存在的主体相比较图。

虽然可以混合和匹配不同的身份验证和授权策略，但使用身份验证策略配置Pyramid应用程序但没有授权策略是错误的，反之亦然。如果这样做，您将在应用程序启动时收到错误。

基于记录属性的金字塔安全性

1 个答案: