ATX*_*ATX 5 security odoo odoo-9
无论在 XML 视图上做了什么,如果没有定义访问控制/记录规则,任何使用都可以通过一个简单的 JS 代码片段获取有关 Odoo 的任何信息:
(new window.openerp.web.Model('my.model')).query().all().then(f=>console.log(f))
实际上,访问控制和记录规则是可行的方法。整个安全都是关于他们的。因此,如果您对某些技术或业务模型没有这些规则,同时要求登录用户不能看到它们,那么您自己对这些模型的概念是错误的或没有经过深思熟虑。
您还可以定义非常严格的规则,同时使用管理员权限(sudo)绕过它们。这通常在计算字段中需要,计算字段依赖于“普通”用户不应该看到但计算所需的数据。
| 归档时间: |
|
| 查看次数: |
110 次 |
| 最近记录: |