Как предотвратить эскалацию разрешения в администраторе Django при предоставлении разрешения "изменить пользователя"?
У меня есть сайт django с большой клиентской базой. Я хотел бы предоставить нашему отделу обслуживания клиентов возможность изменять обычные учетные записи пользователей, делать такие вещи, как смена паролей, адресов электронной почты и т.д. Однако, если я предоставляю кому-либо встроенное разрешение auth | user | Can change user, они получают возможность устанавливать is_superuser флаг в любой учетной записи, включая их собственный. (!!!)
Какой лучший способ удалить эту опцию для сотрудников, не являющихся суперпользователями? Я уверен, что это связано с подклассификацией django.contrib.auth.forms.UserChangeForm и подключением его к уже существующему объекту UserAdmin... как-то. Но я не могу найти документацию о том, как это сделать, и я еще недостаточно понимаю внутренности.
Ответы
Ответ 1
они получают возможность устанавливать флаг is_superuser в любой учетной записи, включая свои собственные. (!!!)
Не только это, они также получают возможность давать себе все разрешения один за другим, тот же эффект...
Я уверен, что он включает подкласс django.contrib.auth.forms.UserChangeForm
Ну, не обязательно. Форма, которую вы видите на странице изменений администратора django, динамически создается приложением администратора и основана на UserChangeForm, но этот класс едва добавляет проверку регулярного выражения в поле username.
и подключить его к моему уже настроенному объекту UserAdmin...
Пользовательский UserAdmin - это путь сюда. В принципе, вы хотите изменить свойство fieldsets на что-то вроде этого:
class MyUserAdmin(UserAdmin):
fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# Removing the permission part
# (_('Permissions'), {'fields': ('is_staff', 'is_active', 'is_superuser', 'user_permissions')}),
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
# Keeping the group parts? Ok, but they shouldn't be able to define
# their own groups, up to you...
(_('Groups'), {'fields': ('groups',)}),
)
Но проблема в том, что это ограничение распространяется на всех пользователей. Если это не то, что вы хотите, вы можете, например, переопределить change_view, чтобы вести себя по-разному в зависимости от разрешения пользователей. Фрагмент кода:
class MyUserAdmin(UserAdmin):
staff_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
(_('Groups'), {'fields': ('groups',)}),
)
def change_view(self, request, *args, **kwargs):
# for non-superuser
if not request.user.is_superuser:
try:
self.fieldsets = self.staff_fieldsets
response = super(MyUserAdmin, self).change_view(request, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
return response
else:
return super(MyUserAdmin, self).change_view(request, *args, **kwargs)
Ответ 2
В приведенной ниже части принятого ответа есть условие гонки, в котором, если два сотрудника попытаются получить доступ к форме администратора одновременно, один из них может получить форму суперпользователя.
try:
self.readonly_fields = self.staff_self_readonly_fields
response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
Чтобы избежать этого состояния гонки (и, на мой взгляд, улучшить общее качество решения), мы можем напрямую переопределить методы get_fieldsets() и get_readonly_fields():
class UserAdmin(BaseUserAdmin):
staff_fieldsets = (
(None, {'fields': ('username')}),
('Personal info', {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
('Important dates', {'fields': ('last_login', 'date_joined')}),
)
staff_readonly_fields = ('username', 'first_name', 'last_name', 'email', 'last_login', 'date_joined')
def get_fieldsets(self, request, obj=None):
if not request.user.is_superuser:
return self.staff_fieldsets
else:
return super(UserAdmin, self).get_fieldsets(request, obj)
def get_readonly_fields(self, request, obj=None):
if not request.user.is_superuser:
return self.staff_readonly_fields
else:
return super(UserAdmin, self).get_readonly_fields(request, obj)
Ответ 3
Полный код для django 1.1 (ограничен основной информацией пользователя для персонала (не суперпользователей))
from django.contrib.auth.models import User
from django.utils.translation import ugettext_lazy as _
class MyUserAdmin(UserAdmin):
my_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
)
def change_view(self, request, object_id, extra_context=None):
# for non-superuser
print 'test'
if not request.user.is_superuser:
self.fieldsets = self.my_fieldsets
response = UserAdmin.change_view(self, request, object_id,
extra_context=None)
return response
else:
return UserAdmin.change_view(self, request, object_id,
extra_context=None)
admin.site.unregister(User)
admin.site.register(User, MyUserAdmin)
Ответ 4
Огромное спасибо Клементу. То, что я придумал, делая то же самое для своего сайта, - это то, что мне нужно дополнительно, чтобы все поля были прочитаны только для пользователей, кроме вас. Поэтому, основываясь на ответе Клемента, я добавляю только поля readlyly и поле пароля, скрывающиеся при просмотре не self
class MyUserAdmin(UserAdmin):
model = User
staff_self_fieldsets = (
(None, {'fields': ('username', 'password')}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
)
staff_other_fieldsets = (
(None, {'fields': ('username', )}),
(_('Personal info'), {'fields': ('first_name', 'last_name', 'email')}),
# No permissions
(_('Important dates'), {'fields': ('last_login', 'date_joined')}),
)
staff_self_readonly_fields = ('last_login', 'date_joined')
def change_view(self, request, object_id, form_url='', extra_context=None, *args, **kwargs):
# for non-superuser
if not request.user.is_superuser:
try:
if int(object_id) != request.user.id:
self.readonly_fields = User._meta.get_all_field_names()
self.fieldsets = self.staff_other_fieldsets
else:
self.readonly_fields = self.staff_self_readonly_fields
self.fieldsets = self.staff_self_fieldsets
response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
except:
logger.error('Admin change view error. Returned all readonly fields')
self.fieldsets = self.staff_other_fieldsets
self.readonly_fields = ('first_name', 'last_name', 'email', 'username', 'password', 'last_login', 'date_joined')
response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
self.readonly_fields = UserAdmin.readonly_fields
return response
else:
return super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
