Flask 验证多用户问题

def permissions_required(user,company):
    def decorator(f):
        @wraps(f)
        def decorated_function(*args,**kwargs):
            if current_user.role.name == 'User':
                if not current_user.can(user):
                    return jsonify(code=-10, msg='没有权限', data={})
            elif current_user.role.name == 'Company':
                if not current_user.can(company):
                    return jsonify(code=-10, msg='没有权限', data={})
            return f(*args,**kwargs)
        return decorated_function
    return decorator

现存问题：判断第一个为 Flase 后直接 return 了不 Return 的话，又越权了。有没有人解决过相关的问题？

return

user

Company

def

3 条回复 • 2019-07-14 22:36:46 +08:00

qile1

2019-07-14 13:13:42 +08:00 via Android

这个用 else 不行？或者 if a=b and c=d:
这样不行？

mu1er

2019-07-14 13:26:49 +08:00

@qile1 不行,if 进去判断 false 直接 return 了，不 return 的话，又越权了

whusnoopy

2019-07-14 22:36:46 +08:00

为啥这个不是白名单机制，现在这个更像是黑名单，但是又不太懂你的设置规则

要更清晰应该是这样吧

```python
if current_user.role.name == 'User' and current_user.can(user):
return f(*args, **kwargs)
if current_user.role.name == 'Company' and current_user.can(company):
return f**args, **kwargs)
return jsonify(code=-10, msg='没有权限', data={})
```