PythonOnWheels ( PoW )

khz · Freitag 14. September 2012, 09:47

@BlackJack,

nur Methoden und da auch nur die, die der Entwickler in einem Dict festlegt.

Hier nochmal der eigentliche Anlass bzw die Grundidee als Skizze:

Der Entwickler schreibt eine Klasse:
und Kann dann ueber die Protector Klasse
einfach seine Methoden schützen.

Code: Alles auswählen

import Protector

class A(object):
    def __init__(self):
        self.a = None
        self.b = None
        # soll dann bedeuten
        # schuetze (wraped) die Methode b_method und prüfe auf admin
        # wenn ok wird b_method ausgeführt, sonst eine Exeption geschmissen.
        Protector.lock ( { "b_method" : "admin" } )
    
        
    def a_method(self):
        #irgendwas
        pass
    
    def b_method(self):
        #irgendwas anderes
        pass

was lock wirklich macht ist dann abhaengig vom der Implementierung
der Klasse Protector. Erster Bedarf ist Authentifizierung (und Authorisierung).
Protector soll dann ein plugin fuer PoW sein das durch Austausch der Klasse ersetzt werden
kann. Also möglichst lose gekoppelt.

Ich finde den Call einer Lock Methode an einer Stelle (fuer den Entwickler) schoener
und übersichtlicher als jede Einzemethode mit einem Dekorator verzieren zu muessen.
Da sieht man auch später auf einen Blick was in der Klasse geschützt ist und
wie.

Ich moechte das Wrappen dann auch gerne für 'dynamische' pre und post filter
nutzen. Also wie Stefan schon schrieb. Dann habe ich ein Verfahren, was ich prima fuer
mehrere Zwecke einsetzen kann.

Wie das bei Stefan und EyDu schon rueberkam gibt es da aber eben einige Moeglichkeiten
die syntaktisch verschieden sind. Ich moechte natuerlich gerne ein 'richtiges/gutes'
bzw bewaehrtes nehmen.

Ich werde mich jetzt nochmal verstaerkt mit
collections.callable und inspect befassen. Damit ich verstehe was passiert.
Dein Stichwort mit Basisklassen bzw EyDus collections geben einen guten Anstoss.

@EyDu: Bis Dahin werde ich auf deinen Vorschlag hasattr(x, "__call__") umschwingen, da das
aus meinem Zweizeiler einen Einzeiler macht. Ich wäre ja blöd wenn ich das nicht mitnähme

deets · Freitag 14. September 2012, 09:53

Ich kann deine Argumente zur Nachvollziehbarkeit ueberhaupt nicht nachvollziehen...

Schau dir doch mal an, wie zB TurboGears2 das macht: Es gibt eine Klassenweite Einstellung die fuer alle Methoden gilt. Und pro Methode per Dekoration eine.

Und das ist *wesentlich* besser nachvollziehbar, denn dann sehe ich an der Methode, an der ich arbeite, ob und wie die geschuetzt ist. Und ich laufe auch nicht Gefahr, dass ich in einem irgendwo rumfliegenden Dictionary einen Methodennamen nicht exakt gleich geschrieben habe. Mal abgesehen davon, dass das eine unnoetige Doppelung der Schreibarbeit ist. Und last but not least: wenn sich ein Methodenname aendert, bleibt der Dekorator automatisch auf Stand - dein Ansatz hingegen erzwingt einen weiteren Denkschritt, der gerne vergessen werden kann - und dann schlaegt der Default zu, und das heisst uU oeffentliche Nutzbarkeit.

Alles in allem wenig ueberzeugend finde ich.

http://turbogears.org/2.0/docs/main/Aut ... horization

snafu · Freitag 14. September 2012, 10:55

Hab jetzt nicht alles detailliert gelesen, aber mir scheint, du willst Methodenaufrufe abhängig von Zugriffsrechten schützen? Da dir der Dekorator-Ansatz ja scheinbar nicht gefällt, könntest du vielleicht von einer Klasse `Lockable` erben. Die zu schützenden Methoden verwaltest du in einem Instanz- oder evtl auch Klassenattribut. Ich würde dabei nicht, wie in deinem Beispiel, über Klassennamen als Strings gehen, sondern direkt `self.methode` registrieren. Die geerbte Logik der `Lockable`-Klasse kümmert sich um die Sache mit der Berechtigung. Wrappen würde ich wohl einfach `__getattr__()`.

Ich fände es aber mit Dekorator irgendwie auch einfacher.

khz · Freitag 14. September 2012, 22:55

@deets

Ich kann deine Argumente zur Nachvollziehbarkeit ueberhaupt nicht nachvollziehen...

Hihi, lustich

Ich finde deine Argumente nachvollziehbar. Allerdings ist es mir
persönlich trotzdem lieber das zentral zu machen.
Ich nehme mal als Beispiel das ich lieber sage:

Macht vorm Rausgehen alle Fenster zu

als das ich jemandem sage:

Also bevor ihr rausgeht, mach bitte das Fenster zu ... und das .... und das (und gehe durchs ganze Haus..)

Andererseits muss man zum prüfen ob ein Fenster echt zu ist, natürlich DAS Fenster ansehen ...
Allerdings kann man das real im Programm dann auch an der zentralen Stelle sehen.
Wenn es eben im Dict steht ist es zu, sonst nicht.

Da aber eben die Geschmaecker verschieden sind und ich das Framework ja nicht fuer mich alleine
mache, werde ich beides anbieten.

Als Methoden zentral: (Turbogears macht das ja uebrigends auch zentral um alle zu abzusichern )

Code: Alles auswählen

protect_all( { "method1" : "parameter", "method2" : "parameter"}...)
protect_all_except( ["method1", "method2", ...])
protect_only( { "method1" : "parameter", "method2" : "parameter"}...)

all schuetzt dann alle
all_except schuetz alle bis auf die genannten Ausnahmen
only schuetz alle explizit genannten.

Idealerweise kann man das dann auch weglassen und einen Dekorator verwenden.
=> Das ist dann das Ziel aus Usability Sicht.

khz · Freitag 14. September 2012, 23:02

@snafu:

ja, hatte ich tatsaechlich erst auch ueberlegt.

Aber dagegen spricht fuer mich, das ich ja ueber diesen Weg einen plugin Mechanismus realisieren moechte.
Wenn ich Vererbung nähme und man hat viele Plugins, haette man eben auch viele Basisklassen.

Ich finde Konstrukte wie:

Code: Alles auswählen

class A(B,C,D):

einfach unschön ..

Ansonsten gebe ich dir voellig recht. Wie gesagt, hatte ich auch gedacht und meine auch das das fuer
_einen_ Fall gut gehen wuerde.

Bzgl der Dekorator denke ich, das ich das auf Jeden Fall mit anbieten sollte. (Du bist ja schon der 2. von 2

khz · Sonntag 16. September 2012, 23:02

kurzer Einwurf von der Seite:

ich habe den Blog endlich online gebracht.
so sieht es dann aus.

Ist im Prinzip derselbe den im im Webcast erstelle.
Jetzt allerdings mit einfachem login, pagination und markdown support.

Als naechstes kommen dann comments. (Das ist dann der Ernstfall fuer die has_many
und belongs_to relationen.)

kennt jemand ein leicht einzubindendes Captcha modul ?

khz · Freitag 28. September 2012, 22:00

@snafu, @deets

bitteschoen

auf vielfachen Vorschlag kann man jetzt die actions 'dekorieren':
Danke nochmal für das feedback.

Code: Alles auswählen

@protect
def list( self, powdict ):
    """ Standard PoW action to return all records of the related model """
    res = self.model.find_all()
    return self.render(model=self.model, powdict=powdict, list=res)

@protect prüft dann ob man als user angemeldet sit oder nicht, bevor die action ausgeführt wird.

ich werde das noch um Parameter für den decorator erweitern, sodass man user und/oder
Rolle für den Zugriff auf die Action vorgeben kann.

Also etwa

Code: Alles auswählen

@protect(user, role)
def list( self, powdict ):
    """ Standard PoW action to return all records of the related model """
    res = self.model.find_all()
    return self.render(model=self.model, powdict=powdict, list=res)

Kleiner Nachtrag zu Dekoratoren

Code: Alles auswählen

@meine_funktion_die_andere_dekoriert
def a_standalone_func():
   pass

sind gleichbedeutend mit:

Code: Alles auswählen

a_stand_alone_function = meine_funktion_die_andere_dekoriert(a_stand_alone_function)

(siehe super decorator Erläuterung)

Für die oben geführte Diskussion (zentral definieren oder lokal dekoriereren) bedeutet das,
das ich eventuell zwei Fliegen mit einer Klappe schlagen kann.

Also decorator wie oben implementieren und dann, mit dem im Petto,
ueber eine Liste iterieren und in der Form

Code: Alles auswählen

setattr (obj, meth, decorator(method))

alles schützen. Bsp.-Weise in __init__ des Objektes.

Sieht irgendjemand was, was dagegen spräche ? Habs noch nicht getestet ....

khz · Montag 1. Oktober 2012, 00:13

so, und jetzt finde ich den blog-theme auch ganz hübsch . . .

natuerlich alles voll PoW