「ユーザーの変更」許可を付与する際に、Django管理者の許可エスカレーションを防ぐにはどうすればよいですか?
-
21-09-2019 - |
質問
私は顧客ベースが大きいDjangoサイトを持っています。カスタマーサービス部門に、通常のユーザーアカウントを変更したり、パスワードを変更したり、メールアドレスをメールで変更したりすることができるようにしたいと思います。ただし、組み込みを許可した場合 auth | user | Can change user
許可、彼らは設定する能力を獲得します is_superuser
独自のアカウントにフラグがあります。 (!!!)
非監督官のスタッフのためにこのオプションを削除する最良の方法は何ですか?サブクラス化が含まれると確信しています django.contrib.auth.forms.UserChangeForm
そして、それを私のすでにカスタムに接続します UserAdmin
オブジェクト...どういうわけか。しかし、これを行う方法に関するドキュメントは見つかりません。内部を十分に理解していません。
解決
彼らは、自分自身を含むアカウントにis_superuserフラグを設定する能力を獲得します。 (!!!)
これだけでなく、彼らはまた、1つずつ許可を与える能力を獲得します...同じ効果...
django.contrib.auth.forms.userchangeformのサブクラス化が含まれると確信しています
まあ、必ずしもそうではありません。 Djangoの管理者の変更ページに表示されるフォームは、管理者アプリケーションによって動的に作成され、 UserChangeForm
, 、しかし、このクラスはかろうじて正規表現の検証を追加しません username
分野。
そして、それを私の既に既存のuseradminオブジェクトに接続します...
カスタム UserAdmin
ここに行く方法です。基本的に、あなたは変えたいです fieldsets
そのような財産:
class MyUserAdmin(UserAdmin):
fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# Removing the permission part
# (_('Permissions'), {'fields': ('is_staff', 'is_active', 'is_superuser', 'user_permissions')}),
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
# Keeping the group parts? Ok, but they shouldn't be able to define
# their own groups, up to you...
(_('Groups'), {'fields': ('groups',)}),
)
しかし、ここでの問題は、この制限がすべてのユーザーに適用されることです。これがあなたが望むものではない場合、たとえばオーバーライドすることができます change_view
ユーザーの許可に応じて異なる動作をすること。コードスニペット :
class MyUserAdmin(UserAdmin):
staff_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
(_('Groups'), {'fields': ('groups',)}),
)
def change_view(self, request, *args, **kwargs):
# for non-superuser
if not request.user.is_superuser:
try:
self.fieldsets = self.staff_fieldsets
response = super(MyUserAdmin, self).change_view(request, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
return response
else:
return super(MyUserAdmin, self).change_view(request, *args, **kwargs)
他のヒント
受け入れられている回答の下の部分には、2人のスタッフユーザーが同時に管理者フォームにアクセスしようとする場合、そのうちの1人がスーパーユーザーフォームを取得する場合があります。
try: self.readonly_fields = self.staff_self_readonly_fields response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs) finally: # Reset fieldsets to its original value self.fieldsets = UserAdmin.fieldsets
この人種の状態を回避するために(そして私の意見では、ソリューションの全体的な品質を改善します)、私たちはオーバーライドすることができます get_fieldsets()
と get_readonly_fields()
方法:直接:
class UserAdmin(BaseUserAdmin):
staff_fieldsets = (
(None, {'fields': ('username')}),
('Personal info', {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
('Important dates', {'fields': ('last_login', 'date_joined')}),
)
staff_readonly_fields = ('username', 'first_name', 'last_name', 'email', 'last_login', 'date_joined')
def get_fieldsets(self, request, obj=None):
if not request.user.is_superuser:
return self.staff_fieldsets
else:
return super(UserAdmin, self).get_fieldsets(request, obj)
def get_readonly_fields(self, request, obj=None):
if not request.user.is_superuser:
return self.staff_readonly_fields
else:
return super(UserAdmin, self).get_readonly_fields(request, obj)
クレメントに感謝します。自分のサイトで同じことをしたときに思いついたのは、自己以外のユーザーのためにすべてのフィールドを読み取るためにさらに必要だということです。だから、Clémentの答えに基づいて、私は自分自身を見るときに読み取られたフィールドとパスワードフィールドの隠れ
class MyUserAdmin(UserAdmin):
model = User
staff_self_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
)
staff_other_fieldsets = (
(None, {'fields': ('username', )}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
)
staff_self_readonly_fields = ('last_login', 'date_joined')
def change_view(self, request, object_id, form_url='', extra_context=None, *args, **kwargs):
# for non-superuser
if not request.user.is_superuser:
try:
if int(object_id) != request.user.id:
self.readonly_fields = User._meta.get_all_field_names()
self.fieldsets = self.staff_other_fieldsets
else:
self.readonly_fields = self.staff_self_readonly_fields
self.fieldsets = self.staff_self_fieldsets
response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
except:
logger.error('Admin change view error. Returned all readonly fields')
self.fieldsets = self.staff_other_fieldsets
self.readonly_fields = ('first_name', 'last_name', 'email', 'username', 'password', 'last_login', 'date_joined')
response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
self.readonly_fields = UserAdmin.readonly_fields
return response
else:
return super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
Django 1.1の完全なコード(スタッフの基本ユーザー情報(スーパーユーザーではない)に限定)
from django.contrib.auth.models import User
from django.utils.translation import ugettext_lazy as _
class MyUserAdmin(UserAdmin):
my_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
)
def change_view(self, request, object_id, extra_context=None):
# for non-superuser
print 'test'
if not request.user.is_superuser:
self.fieldsets = self.my_fieldsets
response = UserAdmin.change_view(self, request, object_id,
extra_context=None)
return response
else:
return UserAdmin.change_view(self, request, object_id,
extra_context=None)
admin.site.unregister(User)
admin.site.register(User, MyUserAdmin)
このアプローチは、ウェブ上のいくつかの役立つヒントからまとめられました。この場合、ユーザーAdminを変更しているため、ユーザーの追加/変更許可を持つ非監督官スタッフの場合、別のユーザーが既に持っているユーザーが付与できる唯一の許可とグループが既に持っているものです。
(Django1.11の場合)
from django.contrib.auth.admin import UserAdmin, User
from django.contrib import admin
class RestrictedUserAdmin(UserAdmin):
model = User
def formfield_for_dbfield(self, db_field, **kwargs):
field = super(RestrictedUserAdmin, self).formfield_for_dbfield(db_field, **kwargs)
user = kwargs['request'].user
if not user.is_superuser:
if db_field.name == 'groups':
field.queryset = field.queryset.filter(id__in=[i.id for i in user.groups.all()])
if db_field.name == 'user_permissions':
field.queryset = field.queryset.filter(id__in=[i.id for i in user.user_permissions.all()])
if db_field.name == 'is_superuser':
field.widget.attrs['disabled'] = True
return field
admin.site.unregister(User)
admin.site.register(User, RestrictedUserAdmin)
これは、ユーザーがグループを変更する許可を与えられている場合、GroupAdminで同様に行う必要があります。