Каков наилучший способ предварительного доступа пользователей фильтра для запросов sqlalchemy?

Я смотрел рецепты sqlalchemy на их вики, но не знаю, какой из них лучше всего реализовать, что я пытаюсь сделать.

Каждая строка в моих таблицах имеет связанный с ней user_id. Прямо сейчас, для каждого запроса, я запросил идентификатор пользователя, который в настоящее время вошел в систему, затем запросите критерии, которые меня интересуют. Моя забота заключается в том, что разработчики могут забыть добавить этот фильтр в запрос (огромный риск для безопасности). Поэтому я хотел бы установить глобальный фильтр, основанный на текущих правах администратора пользователя, чтобы фильтровать то, что мог видеть зарегистрированный пользователь.

Цените свою помощь. Спасибо.

ОТВЕТЫ

Ответ 1

Ниже приведен упрощенный переопределенный конструктор запросов для фильтрации всех запросов модели (включая отношения). Вы можете передать его как query_cls параметр sessionmaker. Параметр ID пользователя не должен быть глобальным, поскольку сеанс создается, когда он уже доступен.

class HackedQuery(Query):

    def get(self, ident):
        # Use default implementation when there is no condition
        if not self._criterion:
            return Query.get(self, ident)
        # Copied from Query implementation with some changes.
        if hasattr(ident, '__composite_values__'):
            ident = ident.__composite_values__()
        mapper = self._only_mapper_zero(
                    "get() can only be used against a single mapped class.")
        key = mapper.identity_key_from_primary_key(ident)
        if ident is None:
            if key is not None:
                ident = key[1]
        else:
            from sqlalchemy import util
            ident = util.to_list(ident)
        if ident is not None:
            columns = list(mapper.primary_key)
            if len(columns)!=len(ident):
                raise TypeError("Number of values doen't match number "
                                'of columns in primary key')
            params = {}
            for column, value in zip(columns, ident):
                params[column.key] = value
            return self.filter_by(**params).first()


def QueryPublic(entities, session=None):
    # It not directly related to the problem, but is useful too.
    query = HackedQuery(entities, session).with_polymorphic('*')
    # Version for several entities needs thorough testing, so we 
    # don't use it yet.
    assert len(entities)==1, entities
    cls = _class_to_mapper(entities[0]).class_
    public_condition = getattr(cls, 'public_condition', None)
    if public_condition is not None:
        query = query.filter(public_condition)
    return query

Он работает только для одиночных запросов модели, и есть много работы, чтобы сделать его подходящим для других случаев. Я хотел бы видеть разработанную версию, так как она ДОЛЖНА ИМЕТЬ функциональность для большинства веб-приложений. Он использует фиксированное условие, хранящееся в каждом классе модели, поэтому вы должны изменить его на свои нужды.

Ответ 2

Вот очень наивная реализация, предполагающая, что хранимый в журнале пользовательский атрибут/свойство self.current_user хранит.

class YourBaseRequestHandler(object):

    @property
    def current_user(self):
        """The current user logged in."""
        pass

    def query(self, session, entities):
        """Use this method instead of :method:`Session.query()
        <sqlalchemy.orm.session.Session.query>`.

        """
        return session.query(entities).filter_by(user_id=self.current_user.id)

Ответ 3

Я написал расширение SQLAlchemy, которое, как я думаю, делает то, что вы описываете: https://github.com/mwhite/multialchemy

Он делает это путем проксирования изменений в свойствах Query._from_obj и QueryContext._froms, где таблицы, которые нужно выбрать, в конечном итоге будут установлены.