Как настроить разрешения на добавление, удаление, обновление и просмотр для конкретного экземпляра модели? - PullRequest
Новая
       17

Как настроить разрешения на добавление, удаление, обновление и просмотр для конкретного экземпляра модели?

2 голосов
/ 20 апреля 2011

Я новичок в Python и Django, работаю над приложением Django, и у меня есть требование, по которому я должен управлять разрешениями для экземпляра модели Foo в моем Django. Доступны другие экземпляры модели, но разрешения применяются только для foo.

Я переопределил has_add_permission, has_delete_permission в своем классе FooAdmin, но, похоже, ничего не работает.

Требования:

  1. Добавить объект Foo: пользователь должен быть супер-администратором
  2. Удалить объект Foo: пользователь должен быть супер-администратором
  3. Редактировать существующий объект Foo: пользователь должен принадлежать к группе ldap 'foo-edit'. Если пользователь принадлежит к этой группе, он может редактировать только одно поле (здание) (еще не реализовано)
  4. View Foo: если пользователь принадлежит к группе ldap 'foo-access', то у пользователя есть только права на просмотр. (Подлежит расследованию)
  5. Если будет добавлен, обновлен, удален или изменен какой-либо другой экземпляр модели, то правила с 1 по 4 не применяются.

Моя реализация: 

class FooAdmin(ModelAdmin):
  ...
  ...
  ...
  def has_add_permission(self, request):
    permissions = self.opts.app_label + '.' + self.opts.get_add_permission()
    # Other objects are fine.
    user = request.user
    if (user.has_perm('survey.add_foo') and user.is_authenticated
        and user.is_superuser):
      return True
    return False

  def has_delete_permission(self, request, obj=None):
    permissions = self.opts.app_label + '.' + self.opts.get_delete_permission()
    user = request.user
    if (user.has_perm('survey.delete_foo') and user.is_authenticated
        and user.is_superuser):
      return True
    return False

Проблема:

  1. Я могу создать еще один экземпляр типа Bar, но не могу удалить то, что только что создал. Это не проблема с экземплярами типа FooBar. Реализация BarAdmin не имеет кода, управляющего разрешениями, как в случае реализации FooBarAdmin.

    Есть ли способ решить эту проблему и снова сделать Bar и FooBar удаляемыми?

  2. Как мне реализовать необходимые # 3 и 4? Я могу переопределить метод has_change_permission, чтобы определить, есть ли у человека права на изменение. Как дать пользователю права на редактирование только для одного поля.

    Django, похоже, не поддерживает разрешения только на просмотр. Я могу создать has_view_permission (self, request) и get_model_perms (self, request) и другие места? Но я не уверен, как это реализовать. Я просматривал исходный код Django , но ничего не могу придумать.

1 Ответ

1 голос
/ 03 мая 2011

После небольшого поиска в Google и случайных взломов я смог найти решение.Я не знаю, что протокол отвечает на ваш вопрос.

  1. Создание реализации промежуточного программного обеспечения (threadlocals.py), которая хранит пользовательскую информацию в локальном объекте потока. 

    try:
  from threading import local
except ImportError:
  from django.utils._threading_local import local

_thread_locals = local()
def get_current_user():
  return getattr(_thread_locals, 'user', None)

class ThreadLocals(object):
  """Middleware that gets various objects from the request object and
  saves them in thread local storage."""

  def process_request(self, request):
    _thread_locals.user = getattr(request, 'user', None)

  2. Создайте служебный модуль авторизации, который будет проверять наличие разрешений. 

    import ldap  
from django.contrib.auth.models import User    
from myapp.middleware import threadlocals

def can_edit():
  user_obj = threadlocals.get_current_user()
  if user_obj and (is_superadmin(user_obj.username) or \
      is_part_of_group(user_obj.username, 'foo-edit')):
    return True
  return False

def can_edit_selectively():
  user = threadlocals.get_current_user()
  if (user and not user.is_superuser and
      is_part_of_group(user.username, 'foo-edit')):
    return True
  return False

def can_view_only():
  user_obj = threadlocals.get_current_user()
  if (user_obj and not user_obj.is_superuser and
      is_part_of_group(user_obj.username, 'foo-access') and
      not is_part_of_group(user_obj.username, 'foo-edit')):
    return True
  return False

def has_add_foo_permission():
  user = threadlocals.get_current_user()
  if (user and user.has_perm('survey.add_foo') and user.is_authenticated
      and user.is_superuser):
    return True
  return False

def has_delete_foo_permission():
  user = threadlocals.get_current_user()
  if (user and user.has_perm('survey.delete_foo') and user.is_authenticated
      and user.is_superuser):
    return True
  return False

def is_superadmin(logged_in_user):
   admin = False
   try:
     user = User.objects.get(username=logged_in_user)
     if user.is_superuser:
       admin = True
     except User.DoesNotExist:
       pass
  return admin

def is_part_of_group(user, group):
  try:
    user_obj = User.objects.get(username=user)
    if user_obj.groups.filter(name=group):
      return True
  except User.DoesNotExist:
    pass
  conn = ldap.open("ldap.corp.mycompany.com")
  conn.simple_bind_s('', '')
  base = "ou=Groups,dc=mycompany,dc=com"
  scope = ldap.SCOPE_SUBTREE
  filterstr = "cn=%s" % group
  retrieve_attributes = None
  try:
    ldap_result_id = conn.search_s(base, scope, filterstr, retrieve_attributes)
    if ldap_result_id:
      results = ldap_result_id[0][1]
      return user in results['memberUid']
  except ldap.LDAPError:
    pass
  return False

  3. Настроить Admin.В действиях разрешения оцениваются.Кроме того, если у пользователя нет прав на удаление, действие «удалить Foo» недоступно. 

    class FooAdmin(ModelAdmin):

  ...

  def get_actions(self, request):
    actions = super(FooAdmin, self).get_actions(request)
    delete_permission = self.has_delete_permission(request)
    if actions and not delete_permission:
      del actions['delete_selected']
    return actions

  def has_add_permission(self, request):
    return auth_utils.has_add_foo_permission()

  def has_delete_permission(self, request, obj=None):
    return auth_utils.has_delete_foo_permission()

  ....

  4. Внесите изменения в функцию init в реализацииModelForm 

     class FooForm(ModelForm):

   def __init__(self, *args, **kwargs):
     self.can_view_only = (auth_utils.can_view_only() and
                           not auth_utils.can_edit_selectively())
     self.can_edit_selectively = (auth_utils.can_edit_selectively() or
                                  auth_utils.can_view_only())
     if self.can_edit_selectively:
       ... Set the widget attributes to read only.

     # If the user has view only rights, then disable edit rights for building id.
     if self.can_view_only:
       self.fields['buildingid'].widget = forms.widgets.TextInput()
       self.fields['buildingid'].widget.attrs['readonly'] = True
     elif (auth_utils.can_edit() or auth_utils.can_edit_selectively()):
       self.fields['buildingid'].widget=forms.Select(choices=
                                                utils.get_table_values('building'))

  5. Мне также пришлось отключить действия, которые изменили строку отправки. 

    def submit_edit_selected_row(context):
  opts = context['opts']
  change = context['change']
  is_popup = context['is_popup']
  save_as = context['save_as']
  if opts.object_name.lower() != 'foo':
    has_delete = (not is_popup and context['has_delete_permission']
                  and (change or context['show_delete']))
    has_save_as_new = not is_popup and change and save_as
    has_save_and_add_another = (context['has_add_permission'] and
                                not is_popup and (not save_as or context['add']))
    has_save_and_continue = (context['has_add_permission'] and
                             not is_popup and (not save_as or context['add']))
    has_save = True
  else:
    has_delete = auth_utils.has_delete_pop_permission()
    has_save_as_new = auth_utils.has_add_pop_permission()
    has_save_and_add_another = auth_utils.has_add_pop_permission()
    has_save_and_continue = (auth_utils.can_edit() or
                             auth_utils.can_edit_selectively())
    has_save = auth_utils.can_edit() or auth_utils.can_edit_selectively()
  return {
    'onclick_attrib': (opts.get_ordered_objects() and change
                          and 'onclick="submitOrderForm();"' or ''),
    'show_delete_link': has_delete,
    'show_save_as_as_new': has_save_as_new,
    'show_save_and_add_another': has_save_and_add_another,
    'show_save_and_continue': has_save_and_continue,
    'is_popup': is_popup,
    'show_save': has_save
   }
register.inclusion_tag('admin/submit_line.html', takes_context=True) (submit_edit_selected_row)

  6. Мне пришлось изменить расширениешаблон администратора.Остальное остается прежним. 

    {% if save_on_top %} {% submit_edit_selected_row %} {% endif}
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...