参考文档:
toby2chen odoo权限机制
权限管理的四个层次
-
菜单级别:不属于指定菜单所包含组的用户看不到该菜单,不安全,只是隐藏菜单,若知道菜单ID,仍然可以通过指定URL访问
-
对象级别:对某个对角是否有'创建,读取,修改,删除'的权限,可以简单理解为表对象
-
记录级别:对对象表中的数据的访问权限,比如访问“客户”对象,业务员只 能对自己创建的客户有访问权限,而经理可以访问其管辖的业务员所有的“客户”对象
-
字段级别:一个对象或表上的某些字段的访问权限,比如产品的成本字段只有经理有读权限
'name':fields.char('Name',size=128,required=True,select=True,write=['base.group_admin'] read=['base.group_admin']) /*定义name字段只能超级用户组可读写*/ -
工作流级别:在工作流的每一步迁移中,设置哪些角色允许触发本迁移
建立权限组
这是我们常说的用户组,会通常放在“模块名_security.xml”这个文件中
例如:
<record id="base.group_hr_manager" model="res.groups">
<field name="name">Manager</field>
<field name="comment">the user will have an access to the human resources configuration as well as statistic reports.</field>
<field name="category_id" ref="base.module_category_human_resources"/>
<field name="implied_ids" eval="[(4, ref('base.group_hr_user'))]"/>
<field name="users" eval="[(4, ref('base.user_root'))]"/>
</record>
@name:用户组名
@comment:用户组的注释
@category_id 用户组所属的模块名
@implied_ids 基于哪个用户组,这个层级关系 <field name="implied_ids" eval="[(4, ref('base.group_user'))]"/>是最基础的
用户名,最初是基于这个,后面一层一层递增,像上面 base.group_hr_user 定义时就是基于最基础
@users 预设用户属于这个用户组
使用权限组
权限管理核心是权限组,每个权限组,可以设置权限组的 Menus,Access Right, Record Rule
Menus:
定义该权限组可以访问哪些菜单,若该权限组可以访问某父菜单,父菜单对应的子菜单会显示出来
若不想显示其子菜单,可以把其子菜单加入 "Useablity/No One" 权限组。
Access Right:
定义该权限组可以访问哪些对象,以及拥有 增、查、改、删的哪个权限 (create,read,write,unlink)
Record Rule:
定义该权限组可以访问对象中的哪些记录,以及拥有 增、查、改、删的哪个权限 ,Access Right是
对对象中的所有记录赋权限,Record Rule 则通过定义domain过滤指定某些记录赋权限
['&',('department','=',user.context_department_id.id),('state','=','pr_draft')]
申购单的部门等于当前用户的部门,且申购单的状态是草稿状态
基于组的访问控制
视图中
运用group_id
<record id="view_order_form_editable_list" model="ir.ui.view">
<field name="name">sale.order.form.editable.list</field>
<field name="model">sale.order</field>
<field name="inherit_id" ref="sale.view_order_form" />
<field name="group_id" eval="[(6,0,[ref('product.group.uos'),
ref('product.group_stock_packaging'),
ref('sale.group_mrp_properties')])]" />
<field name="arch" type="xml">
<xpath expr="//field[@name='order_line]/tree" position="before"
<attribute name="editable" />
</xpath>
</field>
</record>
eval:把eval的值通过作为python运算返回该属性
ref:视图的方法,根据 module_name.xml_id 返回数据库id
[(6,0,[xx,yy])]
(0,_ ,{’field’: value}) 这将创建一个新的记录并连接它
(1,id,{’field’: value}): 这是更新一个已经连接了的记录的值
(2,id,_) 这是删除或取消连接某个已经连接了的记录
(3,id,_) 这是取消连接但不删除一个已经连接了的记录
(4,id,_) 连接一个已经存在的记录
(5,,) 取消连接但不删除所有已经连接了的记录
(6,_,[ids]) 用给出的列表替换掉已经连接了的记录
这里的下划线一般是0或False
运用groups
<button name="invoice_pay_customer" type="object" string="Register Payment"
attrs="{'invisible': ['|', ('state','!=','open'), ('sent','=',True)]}" groups="base.group_user"/>
<field name="invoice_line_ids" groups="account.group_account_invoice"/>
<menuitem name="China Account" id="menu_china_account" parent="account.menu_finance" sequence="4" groups="account.group_account_user"/>
在模型中
package_id = fields.Many2one(
comodel_name='stock.quant.package', string='Package',
related='quant.package_id', readonly=True,
groups="stock.group_tracking_lot")
要有多个用户组时,用户组之间用逗号隔开
小结
只有在视图中有完整标签时,会用group_id,其它都用groups
访问权限管理:##
对于其内的数据访问权限管理有两种机制:
第一种是模型访问权限管理 (access rule);
第二种是记录规则管理 (record rule)。
record rule 是对access rule的细化 ,带条件,比如记录是什么状态的可以访问
如果不为模块设置规则,默认只有Administator才能访问这个模型的数据
record rule 对 Administator 用户是无效的,而access rule还是有效
access rule
权限对象模型是 ir.model.access.csv
一般是放在security 文件夹下的 ir.model.access.csv 文件来管理的
来一个例子:
id,name,model_id:id,group_id:id,perm_read,perm_write,perm_create,perm_unlink
access_payment_notice_account_user,payment.notice.account.user,model_payment_notice,account.group_account_user,1,1,1,1
access_payment_notice_sale_user,payment.notice.sale.user,model_payment_notice,base.group_sale_salesman,1,1,0,0
分析这个是针对 payment.notice 这个模型做访问权限设置
可以看一下对应模型定义的代码:
class PaymentNotice(models.Model):
_name = "payment.notice"
id:权限的ID不可重复 一般取名为 access_模型名_特定用户组名(用下划线连起来)
name 描述 一般命名沿用模型名用“.”连接加 用户组名
model_id:id:对象,命名是model_模型名(用下划线连起来)
group_id:id 组名称 (模块.用户组名)
下面的,0 表示无权限, 1 表示有权限
perm_read 只读
perm_write 修改
perm_create 创建
perm_unlink 删除
record rule
一般是放在security 文件夹下的 模块名_record_rules.xml 文件来管理的
对于模型权限的补充
<?xml version=”1.0” encoding=”utf-8”?>
<openerp>
<data noupdate=”1”>
<record model="ir.rule" id="payment_notice_personal_rule">
<field name="name">Personal Payment Notice</field>
<field name="model_id" ref="model_payment_notice"/>
<field name="domain_force">['|',('claimed_user_id','=',user.id),('claimed_user_id','=',False)]</field>
<field name="groups" eval="[(4, ref('base.group_sale_salesman'))]"/>
</record>
<record model="ir.rule" id="payment_notice_see_all">
<field name="name">All Payment Notice</field>
<field name="model_id" ref="model_payment_notice"/>
<field name="domain_force">[(1,'=',1)]</field>
<field name="groups" eval="[(4, ref('account.group_account_user'))]"/>
<field name="perm_read" eval="1" />
<field name="perm_write" eval="1" />
<field name="perm_create" eval="1" />
<field name="perm_unlink" eval="1" />
</record>
</data>
</openerp>
record rule 记录是 ir.rule 模型, 存在public.ir_rule 表格中
model_id 作用于哪个模型 值为 model_模型名
domain_force 对该模型中所有记录进行某种过滤操作
常用的 ['|',('user_id','=',user.id),('user_id','=',False)] 表示是自己的单
user_id是记录的字段,这个看实际情况改变, user.id 代表当前登录用户的id
[(1,'=',1)] 表示所有的单
noupdate 值为1 表示升级模块不会更新本数据
base.group_user 是人力资源 / 雇员
perm_read 这些后面,是对 前面模型权限组设定的覆盖
-
来一个完整的例子解说:
建立组
A //把admin用户加入该组中 @ name 组名称
@ category_id 属于哪个应用程序,或者哪个模块,为了方便管理
@ users 组里面的用户
这样B应用程序就建立了一个名叫A的组。并且初始化了A组的一个用户admin组控制菜单显示
A
menu1 1 @ name 菜单名称
@ groups_id 哪些组可以访问该菜单
@ sequence 该菜单的序号
这样A组与B组的成员都可以访问menu1菜单,menu1菜单的显示顺序为1
注:eval 后面解释,多个组访问用“,”隔开 -
代码分析中的运用
字段显示权限
在model中判断
self.pool.get('res.users').has_group(cr, uid, 'sale.group_discount_per_so_line')