Django:非员工用户可以登录管理页面
Python 3.5.1和Django 1.9
我在项目中创建了一个自定义用户模型:
from django.db import models
from django.contrib.auth.models import (
BaseUserManager, AbstractBaseUser
)
class UserManager(BaseUserManager):
def create_user(self, username, password=None):
user = self.model(
username=username,
)
user.set_password(password)
user.save(using=self._db)
return user
def create_superuser(self, username, password):
user = self.create_user(
username,
password=password,
)
user.is_admin = True
user.is_superuser = True
user.save(using=self._db)
return user
# Users
class User(AbstractBaseUser):
username = models.CharField(
unique=True,
max_length=50,
)
bio = models.TextField()
is_active = models.BooleanField(default=True,
verbose_name="Active",
help_text="lorem")
is_admin = models.BooleanField(default=False,
verbose_name="Staff status",
help_text="lorem")
is_superuser = models.BooleanField(default=False,
verbose_name="Superuser status",
help_text="lorem")
objects = UserManager()
USERNAME_FIELD = 'username'
def get_full_name(self):
return self.username
def get_short_name(self):
return self.username
def is_staff(self):
return self.is_admin
def __str__(self):
return self.username
def has_perm(self, perm, obj=None):
return True
def has_module_perms(self, db):
return True
我跟着官方文档中的指南这里
我已经在settings.py定义AUTH_USER_MODEL
一切似乎与自定义用户模型,execpt正常工作...
任何用户都可以登录管理界面.这当然不是一件好事
以非管理员用户身份登录时,以下是管理界面的屏幕截图:
这时以实际管理员用户身份登录 
请注意右上角.使用非管理员用户登录时,菜单不会显示.奇怪.
管理员和非管理员用户都可以完全访问管理界面,他们可以添加,更改和删除条目.
显然这是一个可怕的安全问题,我甚至不知道从哪里开始调整
你需要is_staff变成一个属性.如果您使用内置的用户模型,Django希望它是一个模型字段,这意味着对员工状态的所有检查都发生if user.is_staff:,而不是if user.is_staff():.您需要做的就是在is_staff方法定义之前包含一行:
@property
def is_staff(self):
return self.is_admin
由于Python在布尔上下文中使用时认为每个函数对象都是True,因此所有用户都会通过检查is_staff.
如果您想知道管理员为什么在"STAFF STATUS"列中显示正确的值,那么因为它is_staff是在用户模型list_display的默认值中列出的ModelAdmin,并且ModelAdmin检查项目list_display是否可以调用,以防万一是,它称之为.但是,这仅用于显示值(因为list_display是更通用的机制),而不是用于任何实际的访问控制检查.
| 归档时间: |
|
| 查看次数: |
1291 次 |
| 最近记录: |