Безопасность Flask @roles_accepted из имени пути

Я не знаю, для чего это нужно, но как вы можете видеть, что декоратор @roles_accepted работает только с ролями и запускает конечную точку только тогда, когда perm.can().

Вы можете создать собственный decorator (просто пример):

def custom_roles(roles: list, path_param: str):
    def wrapper(fn):
        @roles_accepted(*roles)  # just roles like in docs
        @wraps(fn)
        def decorated_view(*args, **kwargs):
            # try to open /100-test/glc
            sub_charity_id = kwargs.get(path_param)[:3]  # 100
            # call route using roles_accepted decorator and path param
            fn2 = roles_accepted(*[sub_charity_id])(fn)
            return fn2(*args, **kwargs)
        return decorated_view
    return wrapper


@app.route('/<string:charity_id>/glc')
@custom_roles(roles=['admin'], path_param='charity_id')
def glc(charity_id):
    return 'test'

Или вызовите roles_accepted внутри маршрута:

def do_something(charity_id: str):
    return charity_id


@app.route('/<string:charity_id>/glc')
@roles_accepted('admin', 'editor')
def glc(charity_id):
    fn = roles_accepted(*[charity_id[:3]])(do_something)
    return fn(charity_id)

Надеюсь это поможет.