堆栈内存溢出
  繁体   English   中英

如何让非员工用户访问 Django 管理站点?

[英]How to make Django admin site accessed by non-staff user?

 原文  2010-10-26 09:57:01       python/ django/ django-admin/ django-authentication

问题描述

我想实现第二个管理站点,它提供主管理站点的功能子集。 这是可能的,并在Django 文档中进行了描述

但是,我想限制对主管理站点的访问。 有些用户可以访问第二个站点,但不能访问主站点。

为了实现该功能,我希望这些用户不在工作人员中(is_staff=False)并重写AdminSite.has_permission

class SecondaryAdminSite(AdminSite):
    
    def has_permission(self, request):
        if request.user.is_anonymous:
            try:
                username = request.POST['username']
                password = request.POST['password']
            except KeyError:
                return False
            try:
                user = User.objects.get(username = username)
                if user.check_password(password):
                    return user.has_perm('app.change_onlythistable')
                else:
                    return False
            except User.DoesNotExist:
                return False
        else:
            return request.user.has_perm('app.change_onlythistable')

不幸的是,这种方法不起作用。 用户可以登录,但在辅助管理站点中看不到任何内容。

这种方法有什么问题? 知道如何实现此功能吗?

提前致谢

3 个解决方案

解决方案1
 4 已采纳  2011-04-06 22:21:13

我认为你的方法现在应该是可能的: http : //code.djangoproject.com/ticket/14434 (5 周前关闭)

但是,显式的“is_staff”检查仍然在两个地方完成(除了 staff_member_required 装饰器):

  • django.contrib.admin.forms.AdminAuthenticationForm.clean()

    在“has_permission()”之上,您需要为非员工 AdminSite 提供一个不进行 is_staff 检查的“login_form”,因此可以只进行子类化并相应地调整 clean() 。

  • 模板/管理员/base.html

    需要稍微定制一下。 id 为“user-tools”的 div 仅对活跃员工显示。 我假设这样做是因为登录表单也使用了这个模板,有人可以作为活跃的非工作人员登录,但仍然不应该看到这些链接。

解决方案2
 1  2021-05-22 16:24:00

这是对我Django >= 3.2

  • 创建AdminSite的子类
  • 覆盖has_permission()方法以删除is_staff检查。
  • 覆盖login_form以使用AuthenticationForm
    • AdminSite使用AdminAuthenticationForm ,它扩展了AuthenticationForm并添加了对is_staff的检查。

代码

# PROJECT/APP/admin.py

from django.contrib.admin import AdminSite
from django.contrib.admin.forms import AuthenticationForm


class MyAdminSite(AdminSite):
    """
    App-specific admin site implementation
    """

    login_form = AuthenticationForm

    site_header = 'Todomon'

    def has_permission(self, request):
        """
        Checks if the current user has access.
        """
        return request.user.is_active


site = MyAdminSite(name='myadmin')

解决方案3
 -1  2010-12-01 23:14:10

这种方法有什么问题? 知道如何实现此功能吗?

这种方法的错误在于权限和组已经可以为您提供所需的内容。 如果您只需要划分用户,则无需对 AdminSite 进行子类化。

恕我直言,这可能就是为什么此功能的记录如此糟糕的原因

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Django:编外人员可以登录到管理页面 如何根据Django中的管理员或工作人员重定向登录URL 如何在管理面板中第一次登录django员工用户? Django Admin非人员访问数据过滤 Django 如何限制员工用户从 django 管理面板编辑或删除其他员工用户帖子 管理员注册人员无法登录Django admin,表单注册人员无法登录 如何测试视图仅由Django中的职员用户访问 Django Admin向工作人员用户添加权限无效 Django Admin --Bulk Staff 用户创建/从 CSV 文件导入 如何让员工可以访问一些 Django 设置?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM