Как я предотвращаю эскалацию разрешения в администраторе Django при предоставлении “пользовательского разрешения” изменения?
У меня есть django сайт с большой клиентской базой. Я хотел бы дать нашему отделу обслуживания клиентов способность изменить учетные записи обычного пользователя, делая вещи как изменяющиеся пароли, адреса электронной почты, и т.д. Однако, если я предоставляю кому-то встроенное auth | user | Can change user разрешение, они получают способность установить is_superuser отметьте в любом случае, включая их собственное. (!!!)
Что лучший способ состоит в том, чтобы удалить эту опцию для штата несуперпользователя? Я уверен, что это включает разделение на подклассы django.contrib.auth.forms.UserChangeForm и сцепление его в мое уже пользовательское UserAdmin возразите... так или иначе. Но я не могу найти документацию относительно того, как сделать это, и я еще не понимаю внутренности достаточно хорошо.
2 ответа
они получают возможность устанавливать флаг is_superuser на любой учетной записи, включая свою собственную. (!!!)
Не только это, они также получают возможность давать себе любые разрешения по одному, тот же эффект...
Я уверен, что это включает в себя подкласс django.contrib.auth.forms.UserChangeForm
Ну, не обязательно. Форма, которую вы видите на странице изменений в админке django, динамически создается админкой и основана на UserChangeForm, но этот класс лишь добавляет валидацию regex к полю username.
и подключаю его к моему уже настроенному объекту UserAdmin...
Пользовательский UserAdmin - это то, что нужно. По сути, вы хотите изменить свойство fieldsets на что-то вроде этого :
class MyUserAdmin(UserAdmin):
fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# Removing the permission part
# (_('Permissions'), {'fields': ('is_staff', 'is_active', 'is_superuser', 'user_permissions')}),
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
# Keeping the group parts? Ok, but they shouldn't be able to define
# their own groups, up to you...
(_('Groups'), {'fields': ('groups',)}),
)
Но проблема здесь в том, что это ограничение будет применяться ко всем пользователям. Если это не то, что вы хотите, вы можете, например, переопределить change_view, чтобы оно вело себя по-разному в зависимости от разрешения пользователей. Фрагмент кода :
class MyUserAdmin(UserAdmin):
staff_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
(_('Groups'), {'fields': ('groups',)}),
)
def change_view(self, request, *args, **kwargs):
# for non-superuser
if not request.user.is_superuser:
try:
self.fieldsets = self.staff_fieldsets
response = super(MyUserAdmin, self).change_view(request, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
return response
else:
return super(MyUserAdmin, self).change_view(request, *args, **kwargs)
Полный код для django 1.1 (ограничивается базовой информацией о пользователе для персонала (не суперпользователей))
from django.contrib.auth.models import User
from django.utils.translation import ugettext_lazy as _
class MyUserAdmin(UserAdmin):
my_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
)
def change_view(self, request, object_id, extra_context=None):
# for non-superuser
print 'test'
if not request.user.is_superuser:
self.fieldsets = self.my_fieldsets
response = UserAdmin.change_view(self, request, object_id,
extra_context=None)
return response
else:
return UserAdmin.change_view(self, request, object_id,
extra_context=None)
admin.site.unregister(User)
admin.site.register(User, MyUserAdmin)