溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何解決python中Flask裝飾器順序問題,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
前言
這個題是用 flask 框架寫的,在 www/bookhub/views/user.py 中, refresh_session 方法存在未授權訪問漏洞,代碼是這樣寫的:
@login_required
@user_blueprint.route('/admin/system/refresh_session/', methods=['POST'])
def refresh_session():
pass # 這里省略內容注意看 @login_required 這個裝飾器寫在了 route 裝飾器上面了,導致了 login_required 未調用。那么,為什么會這樣子呢?
官方文檔
Flask 官方文檔中關于Login Required Decorator說明 這一節里面有一行說明:
To use the decorator, apply it as innermost decorator to a view function. When applying further decorators, always remember that the route() decorator is the outermost.
大概意思就是,必須保證 route 裝飾器在最頂層
那么為什么要這樣提示呢?
Python 裝飾器順序說明
本節內容可直接參考: Python 裝飾器執行順序迷思
總結一下就是,裝飾的順序按靠近函數順序執行,從內到外裝飾,調用時由外而內,執行順序和裝飾順序相反。
回過頭來看 Flask
Flask 框架中, route 裝飾器是這么寫的:
def route(self, rule, **options):
"""Like :meth:`Flask.route` but for a blueprint. The endpoint for the
:func:`url_for` function is prefixed with the name of the blueprint.
"""
def decorator(f):
endpoint = options.pop("endpoint", f.__name__)
self.add_url_rule(rule, endpoint, f, **options)
return f
return decoratorroute 調用了 add_url_rule , 對傳入的 f 添加一條 URL 規則。
所以,按照 python 裝飾器順序:
如果 @app.route 在內層,那么就會把最原始的 view 函數傳給 add_url_rule , Flask 框架就會添加一條 URL 規則,指向最原始的 view 函數。
如果 @app.route 在外層,那么就會把已經被 login_required 裝飾過的 view 函數傳給 add_url_rule , Flask 框架就會添加一條 URL 規則,指向已經裝飾過的 view 函數。
下面是兩個例子,來說明:
正確寫法
@user_blueprint.route('/admin/refresh_session/', methods=['POST'])
@login_required
def refresh_session():
pass這段代碼相當于:
# 這里沒有裝飾器
def refresh_session():
pass
login_wrapped = login_required(refresh_session) # login 裝飾器
both_wrapped = app.route('/admin/refresh_session/')(login_wrapped) # route 裝飾器/admin/refresh_session/ 這條路由指向的實際是 login_wrapped ,這樣就會經過 login 檢查
錯誤寫法
@login_required
@user_blueprint.route('/admin/refresh_session/', methods=['POST'])
def refresh_session():
pass這段代碼相當于:
# 這里沒有裝飾器
def refresh_session():
pass
route_wrapped = app.route('/admin/refresh_session/')(refresh_session) # route 裝飾器
login_wrapped = login_required(route_wrapped) # login 裝飾器/admin/refresh_session/ 這條路由指向的實際是 refresh_session , 而 login_wrapped 并沒有與路由掛勾,所以不會被調用。
關于“如何解決python中Flask裝飾器順序問題”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
