我遇到了以下问题:如果我给用户工作人员状态并允许他创建用户但不创建新组和分配权利,他仍然可以为另一个用户分配“管理员”权利 - 所以他可以轻松添加比自己拥有更多权利的用户!有没有人在不提供自定义用户模型/视图的情况下找到避免这种情况的方法?
我很感谢任何回应。
问问题
748 次
1 回答
2
Django 要求有权限的用户Can add user也有权限Can change user。引用文档:
另请注意:如果您希望自己的用户帐户能够使用 Django 管理站点创建用户,则需要授予自己添加用户和更改用户的权限(即“添加用户”和“更改用户”权限)。如果您的帐户有权添加用户但不能更改用户,您将无法添加用户。为什么?因为如果您有权添加用户,您就有权创建超级用户,然后超级用户可以更改其他用户。因此 Django 需要添加和更改权限作为一项轻微的安全措施。
但是,可以通过修改ModelAdmin(或其形式)来限制给定用户分配的权限集。这是一个显示如何重新定义UserAdmin.
我相信您的新ModelAdmin用户必须:a)过滤掉比您拥有更多权限的用户(因此您无法从他们那里删除权限);b)修改更改用户表单,以便您无法设置superuser字段,并且您不允许分配的权限从列表中排除(或完全禁用整个列表 - 但我不知道这就是您真正需要的,对吧?创建一个完全没有权限的用户在 IMO 中几乎没有什么用处)。
更新:这是我到目前为止发现的。应该满足上述所有目标,除了权限过滤问题(它的行为就像您在问题中提出的那样 - 拒绝为无权的用户分配任何权限)。您可以对其进行修改以更好地满足您的需求(例如,用.is_superuser您希望允许/拒绝更改权限的任何逻辑替换)。
from django.contrib.auth.admin import UserAdmin
from django.contrib.auth.models import User
class MyUserAdmin(UserAdmin):
def queryset(self,request):
qs = admin.ModelAdmin.queryset(self,request)
if request.user.is_superuser:
return qs
# Only allow viewing/editing users who are not superusers
return qs.filter(is_superuser=False)
def get_readonly_fields(self, request, obj=None):
# Deny editing groups, permissions and the superuser status
return () if request.user.is_superuser else ('is_superuser', 'groups', 'user_permissions')
admin.site.unregister(User)
admin.site.register(User, MyUserAdmin)
于 2012-05-28T08:41:23.443 回答