我正在使用django-guardian来管理每个对象的权限。
对于给定的用户,我授予对一个对象的所有权限:
joe = User.objects.get(username="joe")
mytask = Task.objects.get(pk=1)
assign('add_task', joe, mytask)
assign('change_task', joe, mytask)
assign('delete_task', joe, mytask)
正如预期的那样,我得到了:
In [57]: joe.has_perm("add_task", mytask)
Out[57]: True
In [58]: joe.has_perm("change_task", mytask)
Out[58]: True
In [59]: joe.has_perm("delete_task", mytask)
Out[59]: True
在 admin.py 中,我还使TaskAdmin继承自GuardedModelAdmin
而不是admin.ModelAdmin
现在,当我使用 joe 连接到我的网站时,在管理员上我得到:
You don't have permission to edit anything
我不应该能够编辑对象mytask吗?
我是否必须使用内置的基于模型的权限系统设置某些权限?
我错过了什么吗?
编辑
我尝试添加选项 user_can_access_owned_objects_only
,它应该可以解决我的问题,但我仍然在我的管理员中看不到任何内容......
class TaskAdmin(GuardedModelAdmin):
user_can_access_owned_objects_only = True
pass
admin.site.register(Task, TaskAdmin)
谢谢
为了只看到当前用户拥有的实例,我给了他所有权限
add_task=Permission.objects.get(codename="add_task")
change_task=Permission.objects.get(codename="change_task")
delete_task=Permission.objects.get(codename="delete_task")
joe.user_permissions.add(add_task)
joe.user_permissions.add(change_task)
joe.user_permissions.add(delete_task)
然后我使用 guardian.shortcuts.assign 在几个实例上设置权限,并在 admin 中过滤查询集:
class TaskAdmin(admin.ModelAdmin):
def queryset(self, request):
if request.user.is_superuser:
return super(TaskAdmin, self).queryset(request)
return get_objects_for_user(user=request.user, perms=['add_task', 'change_task', 'delete_task'], klass=Task)
它远非完美,但我找不到任何其他解决方案。
Django Admin,尤其是它处理change
权限,有点粗粒度。内部方法ModelAdmin.has_change_permission()
涵盖了实际上缺乏view
权限的检查。
其次,GuardedModelAdmin
带来了所有权检查(通过user_can_access_owned_objects_only
)和管理行级权限的表单。它不向 Django 管理员提供任何其他行级访问策略。
对于 Django Admin 中典型的行级权限场景,我想建议代码,在这里我引入了一个可选的"查看"权限:
class ExtendedGuardedModelAdmin(GuardedModelAdmin):
def queryset(self, request):
qs = super(ExtendedGuardedModelAdmin, self).queryset(request)
# Check global permission
if super(ExtendedGuardedModelAdmin, self).has_change_permission(request)
or (not self.list_editable and self.has_view_permission(request)):
return qs
# No global, filter by row-level permissions. also use view permission if the changelist is not editable
if self.list_editable:
return get_objects_for_user(request.user, [self.opts.get_change_permission()], qs)
else:
return get_objects_for_user(request.user, [self.opts.get_change_permission(), self.get_view_permission(
)], qs, any_perm=True)
def has_change_permission(self, request, obj=None):
if super(ExtendedGuardedModelAdmin, self).has_change_permission(request, obj):
return True
if obj is None:
# Here check global 'view' permission or if there is any changeable items
return self.has_view_permission(request) or self.queryset(request).exists()
else:
# Row-level checking
return request.user.has_perm(self.opts.get_change_permission(), obj)
def get_view_permission(self):
return 'view_%s' % self.opts.object_name.lower()
def has_view_permission(self, request, obj=None):
return request.user.has_perm(self.opts.app_label + '.' + self.get_view_permission(), obj)
def has_delete_permission(self, request, obj=None):
return super(ExtendedGuardedModelAdmin, self).has_delete_permission(request, obj)
or (obj is not None and request.user.has_perm(self.opts.get_delete_permission(), obj))
通过这种方式,您可以实现更灵活的权限检查,用户权限现在是全局的,user-obj-permissions是基于行级的:
joe.user_permissions.add(add_task)
Joe 可以添加新任务(没有行级"添加"权限)joe.user_permissions.add(change_task)
乔可以改变所有的任务joe.user_permissions.add(delete_task)
乔可以删除所有任务assign(Task._meta.get_change_permission(), joe, obj)
Joe 可以更改任务对象,查看包含 OBJ 的更改列表以及其他可更改的任务。assign(Task._meta.get_delete_permission(), joe, obj)
乔可以删除任务对象assign('view_task', joe, obj)
[可选] Joe 可以查看任务对象(您可能希望在自定义的管理员视图页面检查此权限)joe.user_permissions.add(Permission.objects.get(codename='view_task', ...))
[可选] Joe 可以查看变更列表中的所有任务,只要变更列表不可内联编辑。如果 joe 可以在没有更改权限的情况下从raw_id_fields中选取项目,这将非常有用。- 。
如果"查看"权限对您无用,您可以安全地忽略它。
目前,django.contrib.admin.util.get_deleted_objects
在检查权限时不尊重 obj,如果在删除过程中需要检查行级权限,可以通过将if not user.has_perm(p):
行修改为 if not user.has_perm(p, obj):
来修补get_deleted_objects
。相关票证分别为13539和16862