我遇到了以下问题:如果我为用户提供员工状态并允许他创建用户,但不允许创建新组和分配权利,他仍然可以为其他用户分配"管理员"权利 - 因此他可以轻松添加拥有比自己更多权利的用户!有没有人找到一种方法来避免这种情况而不提供自定义用户模型/视图?
我很感激任何回应。
Django 要求具有权限的用户Can add user也具有权限Can change user。引用文档:
另请注意:如果您希望自己的用户帐户能够使用 Django 管理站点创建用户,则需要授予自己添加用户和更改用户的权限(即"添加用户"和"更改用户"权限)。如果您的帐号有权添加用户但无权更改用户,您将无法添加用户。为什么?因为如果您有权添加用户,则有权创建超级用户,然后超级用户可以更改其他用户。所以 Django 需要添加和更改权限作为轻微的安全措施。
但是,可以通过修改ModelAdmin(或其窗体)来限制给定用户可用分配的权限集。这是一个答案,显示了如何重新定义UserAdmin。
我相信您的新ModelAdmin必须:a) 过滤掉拥有比您更多权限的用户(因此您无法从他们中删除权限);b) 修改更改用户表单,以便您无法设置superuser字段,并且您不允许分配的权限将从列表中排除(或完全禁用整个列表 - 但我不知道这是您真正需要的,对吧?创建一个根本没有权限的用户将几乎没有 IMO)。
更新:这是我到目前为止发现的。应该满足上述所有目标,除了权限过滤问题(它的行为就像您在问题中提出的一样 - 拒绝无权使用的用户辅助任何权限)。您可以修改它以更好地满足您的需求(例如,将.is_superuser替换为您想要允许/拒绝更改权限的任何逻辑)。
from django.contrib.auth.admin import UserAdmin
from django.contrib.auth.models import User
class MyUserAdmin(UserAdmin):
def queryset(self,request):
qs = admin.ModelAdmin.queryset(self,request)
if request.user.is_superuser:
return qs
# Only allow viewing/editing users who are not superusers
return qs.filter(is_superuser=False)
def get_readonly_fields(self, request, obj=None):
# Deny editing groups, permissions and the superuser status
return () if request.user.is_superuser else ('is_superuser', 'groups', 'user_permissions')
admin.site.unregister(User)
admin.site.register(User, MyUserAdmin)