Django Admin - Контент конкретного пользователя (администратора)

Ответ 1

Во-первых, предостерегающее предупреждение: философия дизайна admin в Django заключается в том, что любой пользователь, имеющий доступ к администратору (is_staff==True), является доверенным пользователем, например. сотрудник, следовательно, "штат", чтобы получить доступ к администратору. Хотя вы можете настроить администратора для ограничения областей, позволяя любому, кто не входит в вашу организацию, получить доступ к вашему администратору, считается рискованным, и Django не дает никаких гарантий относительно какой-либо безопасности в этот момент.

Теперь, если вы все еще хотите продолжить, вы можете ограничить большинство вещей, кроме магазинов сразу с места в карьер, просто не присваивая этим привилегии пользователю. Вам нужно будет предоставить всем владельцам магазинов права на редактирование любых моделей магазинов, к которым им нужен доступ, но все остальное должно быть оставлено в списке разрешений.

Затем для каждой модели, которая должна быть ограничена только глазами владельца, вам нужно будет добавить поле для хранения "владельца" или разрешить пользователю доступ к нему. Вы можете сделать это с помощью метода save_model на ModelAdmin, который имеет доступ к объекту запроса:

class MyModelAdmin(admin.ModelAdmin):
    def save_model(self, request, obj, form, change):
        obj.user = request.user
        super(MyModelAdmin, self).save_model(request, obj, form, change)

Затем вам также необходимо ограничить набор запросов ModelAdmin только теми элементами, которые принадлежат текущему пользователю:

class MyModelAdmin(admin.ModelAdmin):
    def get_queryset(self, request):
        qs = super(MyModelAdmin, self).get_queryset(request)
        if request.user.is_superuser:
            return qs
        return qs.filter(owner=request.user)

Однако это ограничит только то, что попадает в список, пользователь все равно может играть с URL-адресом для доступа к другим объектам, к которым у них нет доступа, поэтому вам необходимо переопределить каждый из уязвимых представлений ModelAdmin для перенаправления, если пользователь не является владельцем:

from django.http import HttpResponseRedirect
from django.core.urlresolvers import reverse

class MyModelAdmin(admin.ModelAdmin):
    def change_view(self, request, object_id, form_url='', extra_context=None):
        if not self.queryset(request).filter(id=object_id).exists():
            return HttpResponseRedirect(reverse('admin:myapp_mymodel_changelist'))

        return super(MyModelAdmin, self).change_view(request, object_id, form_url, extra_context)

    def delete_view(self, request, object_id, extra_context=None):
        if not self.queryset(request).filter(id=object_id).exists():
            return HttpResponseRedirect(reverse('admin:myapp_mymodel_changelist'))

        return super(MyModelAdmin, self).delete_view(request, object_id, extra_context)

    def history_view(self, request, object_id, extra_context=None):
        if not self.queryset(request).filter(id=object_id).exists():
            return HttpResponseRedirect(reverse('admin:myapp_mymodel_changelist'))

        return super(MyModelAdmin, self).history_view(request, object_id, extra_context)

ОБНОВЛЕНИЕ 06/05/12

Спасибо @christophe31 за указание, что поскольку запрос запроса ModelAdmin уже ограничен пользователем, вы можете просто использовать self.queryset() в просмотрах изменений, удаления и истории. Это прекрасно абстрагирует модельное имя класса, делая код менее хрупким. Я также изменил использование filter и exists вместо блока try...except с помощью get. Он более оптимизирован таким образом и на самом деле приводит к более простому запросу.

Ответ 2

Я просто размещаю это здесь, так как верхний комментарий больше не является самым последним ответом. Я использую Django 1.9, я не уверен, когда это произошло.

Например, у вас разные места и разные пользователи, связанные с каждым местом, модель будет выглядеть примерно так:

class Venue(models.Model):
    user = models.ForeignKey(User)
    venue_name = models.CharField(max_length=255)
    area = models.CharField(max_length=255)

Теперь статус сотрудника для пользователя должен быть правдой, если он разрешил вход через панель администратора django.

admin.py выглядит примерно так:

class FilterUserAdmin(admin.ModelAdmin): 
    def save_model(self, request, obj, form, change):
        if getattr(obj, 'user', None) is None:  
            obj.user = request.user
        obj.save()
    def get_queryset(self, request):
        qs = super(FilterUserAdmin, self).queryset(request)
        if request.user.is_superuser:
            return qs
        return qs.filter(user=request.user)
    def has_change_permission(self, request, obj=None):
        if not obj:
            return True 
        return obj.user == request.user or request.user.is_superuser


@admin.register(Venue)
class VenueAdmin(admin.ModelAdmin):
    pass

имя функции изменилось с queryset на get_queryset.

EDIT: Я хотел бы продлить мой ответ. Существует еще один способ возврата отфильтрованных объектов без использования функции запроса. Я хочу подчеркнуть, что я не знаю, эффективен ли этот метод или менее эффективен.

Альтернативная реализация метода get_queryset выглядит следующим образом:

def get_queryset(self, request):
    if request.user.is_superuser:
        return Venue.objects.all()
    else:
        return Venue.objects.filter(user=request.user)

Кроме того, мы также можем фильтровать контент, отношения более глубокие.

class VenueDetails(models.Model):
    venue = models.ForeignKey(Venue)
    details = models.TextField()

Теперь, если я хочу отфильтровать эту модель, которая имеет место как foreignkey, но не имеет пользователя, мой запрос изменяется следующим образом:

def get_queryset(self, request):
    if request.user.is_superuser:
        return VenueDetails.objects.all()
    else:
        return VenueDetails.objects.filter(venue__user=request.user)

Django ORM позволяет нам обращаться к различным типам отношений, которые могут быть настолько глубокими, насколько мы хотим, используя '__'

Ниже приведена ссылка на официальные документы для вышеуказанного.

Ответ 3

Прошу прощения, я знаю, что поздно, но, возможно, это поможет кому-то еще. Я думаю, что приложение django-permission могло бы помочь выполнить эту задачу.

Ответ 4

Я думаю, что RelatedOnlyFieldListFilter должен вам помочь. Здесь ссылка на Django Doc: RelatedOnlyFieldListFilter

list_filter может быть: кортеж, где первый элемент является полем имя и второй элемент - это класс, наследующий от django.contrib.admin.FieldListFilter, например:

class PersonAdmin(admin.ModelAdmin):
    list_filter = (
        ('is_staff', admin.BooleanFieldListFilter),
    )

Вы можете ограничить выбор связанной модели объектами участвуя в этом отношении, используя RelatedOnlyFieldListFilter: (Vous pouvez limiter les choix dun modèle lié aux objets озабоченность par la Отношение en utilisant RelatedOnlyFieldListFilter:)

  class BookAdmin(admin.ModelAdmin):
      list_filter = (
           ('author', admin.RelatedOnlyFieldListFilter),
      ) 

Предполагая, что автор является моделью ForeignKey для пользователя, , это ограничит выбор list_filter для пользователей, которые написали книгу вместо перечисления всех пользователей. (En supposant que author est une clé ForeignKey vers un modèle Пользователь, cela va limiter les choix de list_filter aux utilisateurs qui ont écrit un livre au lieu dénumérer tous les utilisateurs.)