[英]Django: Non-staff users can login to admin page
Python 3.5.1和Django 1.9
我在项目中创建了一个自定义用户模型:
from django.db import models
from django.contrib.auth.models import (
BaseUserManager, AbstractBaseUser
)
class UserManager(BaseUserManager):
def create_user(self, username, password=None):
user = self.model(
username=username,
)
user.set_password(password)
user.save(using=self._db)
return user
def create_superuser(self, username, password):
user = self.create_user(
username,
password=password,
)
user.is_admin = True
user.is_superuser = True
user.save(using=self._db)
return user
# Users
class User(AbstractBaseUser):
username = models.CharField(
unique=True,
max_length=50,
)
bio = models.TextField()
is_active = models.BooleanField(default=True,
verbose_name="Active",
help_text="lorem")
is_admin = models.BooleanField(default=False,
verbose_name="Staff status",
help_text="lorem")
is_superuser = models.BooleanField(default=False,
verbose_name="Superuser status",
help_text="lorem")
objects = UserManager()
USERNAME_FIELD = 'username'
def get_full_name(self):
return self.username
def get_short_name(self):
return self.username
def is_staff(self):
return self.is_admin
def __str__(self):
return self.username
def has_perm(self, perm, obj=None):
return True
def has_module_perms(self, db):
return True
我在这里遵循了官方文档中的指南
我在settings.py定义AUTH_USER_MODEL
一切似乎都可以与自定义用户模型execpt一起正常使用...
任何用户都可以登录管理界面。 这当然不是一件好事
请注意右上角。 使用非管理员用户登录时,菜单不会出现。 奇怪。
管理员和非管理员用户都具有对管理界面的完全访问权限,他们都可以添加,更改和删除条目。
显然,这是一个可怕的安全问题,我什至不知道从哪里开始调试
您需要将is_staff
变成一个属性。 如果您使用内置的User模型,则Django希望它是一个model字段,这意味着所有对人员状态的检查都if user.is_staff:
,而不是if user.is_staff():
。 您需要做的就是在is_staff
方法定义之前包含一行:
@property
def is_staff(self):
return self.is_admin
由于Python在布尔上下文中使用时会认为每个函数对象都为True,因此所有用户都通过了is_staff
的检查。
如果您想知道管理员为什么在“ STAFF STATUS”列中显示正确的值,那是因为is_staff
列在用户模型的默认ModelAdmin
list_display
中,并且ModelAdmin
会检查list_display
项目是否可调用,并在可能的情况下调用它们。 但是,这样做仅出于显示值的目的(因为list_display
是更通用的机制),而不是为了进行任何实际的访问控制检查。
您要从AbstractBaseUser
和PermissionsMixin
继承继承。
您刚刚在User类中添加了一个“ bio”字段。 也许只是从AbstractUser
而不是AbstractBaseUser
扩展。 AbstractUser拥有大部分重要内容,您可以在其中包括生物领域
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.