Django：编外人员可以登录到管理页面

Question

Python 3.5.1和Django 1.9

我在项目中创建了一个自定义用户模型：

from django.db import models
from django.contrib.auth.models import (
    BaseUserManager, AbstractBaseUser
)


class UserManager(BaseUserManager):
    def create_user(self, username, password=None):
        user = self.model(
            username=username,
        )

        user.set_password(password)
        user.save(using=self._db)
        return user

    def create_superuser(self, username, password):
        user = self.create_user(
            username,
            password=password,
        )

        user.is_admin = True
        user.is_superuser = True
        user.save(using=self._db)
        return user


# Users
class User(AbstractBaseUser):
    username = models.CharField(
        unique=True,
        max_length=50,
    )
    bio = models.TextField()

    is_active = models.BooleanField(default=True,
                                    verbose_name="Active",
                                    help_text="lorem")
    is_admin = models.BooleanField(default=False,
                                   verbose_name="Staff status",
                                   help_text="lorem")
    is_superuser = models.BooleanField(default=False,
                                       verbose_name="Superuser status",
                                       help_text="lorem")

    objects = UserManager()

    USERNAME_FIELD = 'username'

    def get_full_name(self):
        return self.username

    def get_short_name(self):
        return self.username

    def is_staff(self):
        return self.is_admin

    def __str__(self):
        return self.username

    def has_perm(self, perm, obj=None):
        return True

    def has_module_perms(self, db):
        return True

我在这里遵循了官方文档中的指南

我在settings.py定义AUTH_USER_MODEL

一切似乎都可以与自定义用户模型execpt一起正常使用...

任何用户都可以登录管理界面。 这当然不是一件好事

这是以非管理员用户身份登录时管理界面的屏幕截图：

当以实际管理员用户身份登录时

请注意右上角。 使用非管理员用户登录时，菜单不会出现。 奇怪。

管理员和非管理员用户都具有对管理界面的完全访问权限，他们都可以添加，更改和删除条目。

显然，这是一个可怕的安全问题，我什至不知道从哪里开始调试

Answer 1

您需要将is_staff变成一个属性。 如果您使用内置的User模型，则Django希望它是一个model字段，这意味着所有对人员状态的检查都if user.is_staff: ，而不是if user.is_staff(): 。 您需要做的就是在is_staff方法定义之前包含一行：

@property
def is_staff(self):
    return self.is_admin

由于Python在布尔上下文中使用时会认为每个函数对象都为True，因此所有用户都通过了is_staff的检查。

如果您想知道管理员为什么在“ STAFF STATUS”列中显示正确的值，那是因为is_staff列在用户模型的默认ModelAdmin list_display中，并且ModelAdmin会检查list_display项目是否可调用，并在可能的情况下调用它们。 但是，这样做仅出于显示值的目的（因为list_display是更通用的机制），而不是为了进行任何实际的访问控制检查。

Answer 2

您要从AbstractBaseUser和PermissionsMixin继承继承。

您刚刚在User类中添加了一个“ bio”字段。 也许只是从AbstractUser而不是AbstractBaseUser扩展。 AbstractUser拥有大部分重要内容，您可以在其中包括生物领域