Flask 如何防止用户访问管理页面?
我想阻止用户访问管理员url,我已经保护了视图,但是仍然可以访问/admin/ admin.pyFlask 如何防止用户访问管理页面?,flask,flask-admin,Flask,Flask Admin,我想阻止用户访问管理员url,我已经保护了视图,但是仍然可以访问/admin/ admin.py import os from flask import request, redirect, url_for from werkzeug import secure_filename from flask_admin import Admin, AdminIndexView from flask_admin import BaseView, expose from flask_admin.con
import os
from flask import request, redirect, url_for
from werkzeug import secure_filename
from flask_admin import Admin, AdminIndexView
from flask_admin import BaseView, expose
from flask_admin.contrib.sqla import ModelView
from flask_admin.contrib.fileadmin import FileAdmin
from flask_login import current_user,login_required
from develop.extentions import admin_permission
from wtforms import FileField
class AdminIndex(AdminIndexView):
@expose('/admin/')
def index(self):
if not current_user.is_authenticated:
return redirect(url_for('main.index'))
return self.render('admin/home.html')
def is_accessible(self):
return current_user.roles('admin')
class CustomModelView(ModelView):
def is_accessible(self):
return current_user.is_authenticated and admin_permission.can
def inaccessible_callback(self, name, **kwargs):
return redirect(url_for('main.index', next=request.url))
class CustomFileView(FileAdmin):
allowed_extensions = (
'txt',
'md',
'js',
'css',
'html',
'jpg',
'gif',
'png'
)
editable_extensions = ('md','html','js','css','txt')
def is_accessible(self):
return current_user.is_authenticated and admin_permission.can
class UserView(CustomModelView):
column_list = ('username', 'confirmed','joined')
column_searchable_list = ('username', 'id')
column_filters = ('joined', 'email', 'username')
path = os.path.abspath(
os.path.join(
os.path.dirname(__file__),
os.pardir
)
)
form_extra_fields = {
"image": FileField('Image')
}
def on_model_change(self, form, model, is_created):
path = os.path.abspath(
os.path.join(
os.path.dirname(__file__),
os.pardir
)
)
image_path = os.path.join(path, 'static', 'images')
photo_data = request.files.get(form.image.name)
if photo_data:
name = secure_filename(photo_data.filename)
model.image = '/static/images/' + name
photo_data.save(os.path.join(image_path, name))
通过这种方式,我的所有其他视图都被隐藏,但我仍在访问管理页面,请说明如何防止未经身份验证的用户访问管理在
索引功能中检查身份验证,如果未经身份验证,请重定向
@expose('/')
def index(self):
if not current_user.is_authenticated:
return redirect(url_for('main.index'))
return self.render('admin/home.html')
我尝试了你的代码,但没有val,它仍然可以访问,我将提供admin.py代码,这样它会更清晰。正如@abathur所说:你需要使用@expose('/')
,而不是@expose('/admin/'))
才能工作。在阅读了你的代码和你对@MrLeeh答案的评论后,我不清楚,您使用该代码的尝试是否包括@expose('/')
。您上面的代码不包括它。如果您没有修饰index方法,我假设父类(flask_admin.AdminIndexView.index)中的index方法仍在为您的/admin/
endpoint.code提供服务,并且已经更新了!鉴于上面的代码使用了@expose('/admin/')
,我们仍然不清楚您是否尝试过使用@expose('/')
?Flask admin已经在为这些端点准备/admin/
,因此我认为上面的装饰程序将提供/admin/admin/
。