В этом уроке разберем удаление сущности. Оно устроено проще вывода, но включает в себя много нюансов:
Удаление сущности
Удаление выглядит следующим образом:
@app.route("/schools/<id>/delete", methods=["POST"])
def schools_delete(id):
repo = SchoolRepository()
repo.destroy(id)
flash("School has been deleted", "success")
return redirect(url_for("schools_index"))
В процессе удаления есть и чисто интерфейсный момент, который начинающие разработчики упускают из виду. Кнопка удаления не должна сразу удалять. Человеку свойственно ошибаться, а еще он любопытен. Поэтому вероятность, что он нажмет на кнопку по ошибке, крайне высока. Необходимо сначала спросить у пользователя, уверен ли он в том, что хочет удалить. Если да, то только в этом случае удалять.
Удаление пользователя — опасная операция, которую нельзя выполнять всем подряд. Даже те, кто могут это делать, должны проходить через процедуру подтверждения, чтобы случайно не удалить пользователя. Имеет ли пользователь доступ к конкретным действиям — определяется авторизацией.
Авторизация
Авторизация — это предоставление лицу или группе лиц прав на выполнение определенных действий. Еще это процесс проверки данных прав при попытке выполнения этих действий.
Авторизацию не следует путать с аутентификацией — процедурой проверки легальности пользователя или данных. Например, проверки соответствия введенного пользователем пароля к учетной записи паролю Wiki. То есть перед выполнением действия необходимо проверить, авторизован ли пользователь на выполнение данного действия или нет.
Авторизация — отдельная большая тема со своей теоретической базой. Как правило, вопрос авторизации решается в каждом конкретном фреймворке самостоятельно, хотя на GitHub можно найти обобщенные библиотеки.
Запрос DELETE
Удаляется сущность запросом DELETE. По спецификации HTTP этот глагол идемпотентный — поведение, в случае наличия или отсутствия сущности, должно быть одинаковое. То есть HTTP-ответ этого обработчика не зависит от того, удалена уже сущность или еще нет.
Но как мы помним, HTML-формы не поддерживают отправку методами, отличными от GET и POST. Фреймворки выкручиваются из этой ситуации следующим образом. Форма отправляется POST-запросом на маршрут, который связан с обработчиком для удаления объекта:
<form action="{{ url_for('schools_delete', id=school.id) }}" method="post"
onsubmit="return confirm('Are you sure you want to delete school? This action cannot be undone.');">
<input type="submit" value="Remove">
</form>
Важно соблюдать семантику HTTP. Нельзя создавать HTML, в котором удаление происходит GET-запросом, например, по ссылке. Браузеры, их плагины и поисковые системы действуют в соответствии с семантикой HTTP. Если они видят обычную ссылку, то подразумевается, что она не может выполнить деструктивных действий, значит, ее можно посетить. При этом мы можем работать в закрытой от поисковиков части сайта. В браузерах встроен механизм предзагрузки страниц: он вызовет все ссылки, до которых сможет дотянуться на открытой странице. А плагины могут делать вообще все что угодно.
Самостоятельная работа
- Реализуйте удаление пользователей
Эталонное приложение
Для полного доступа к курсу нужен базовый план
Базовый план откроет полный доступ ко всем курсам, упражнениям и урокам Хекслета, проектам и пожизненный доступ к теории пройденных уроков. Подписку можно отменить в любой момент.
