Django 规则对象权限

Question

我正在尝试使用django rules 在 django 和 django 管理界面中配置对象权限。

现在，当我添加权限规则时，它们将始终只使用第一个参数调用，但对象始终为 None。

例如，如果我要创建这个谓词：

@rules.predicate
def is_book_author(user, book):
    return book.author == user

然后将其添加到django权限集中：

rules.add_perm('books.view_book', is_book_author)

现在，当我使用用户登录管理界面时，将使用用户调用 is_book_author，并且没有。它将被多次调用（每个对象一次），但对象始终为 None。

我在 django 2.1.1 和 python 3.7 中使用规则 2.0.0。

如果我做错了什么或如何配置 django 以使用单个对象调用谓词有什么想法吗？

Answer 1

正如django-rules documentation 所说：

Django Admin 不支持对象权限，从某种意义上说，它永远不会请求对对象执行操作的权限，只要求用户是否被允许对（任何）实例进行操作一个模型。

如果您想告诉 Django 用户是否对特定对象具有权限，则必须覆盖模型的 ModelAdmin 的以下方法：

has_view_permission(user, obj=None)
has_change_permission(user, obj=None)
has_delete_permission(user, obj=None)

rules 带有一个自定义的ModelAdmin 子类rules.contrib.admin.ObjectPermissionsModelAdmin，它覆盖这些方法以将编辑后的模型实例传递给授权后端，从而在管理中启用每个对象的权限：

# books/admin.py
from django.contrib import admin
from rules.contrib.admin import ObjectPermissionsModelAdmin
from .models import Book

class BookAdmin(ObjectPermissionsModelAdmin):
    pass

admin.site.register(Book, BookAdmin)

现在这允许您像这样指定权限：

rules.add_perm('books', rules.always_allow)
rules.add_perm('books.add_book', has_author_profile)
rules.add_perm('books.change_book', is_book_author_or_editor)
rules.add_perm('books.delete_book', is_book_author)

为了保持向后兼容性，Django 将要求查看或更改权限。为了获得最大的灵活性，规则的行为略有不同：当且仅当不存在查看权限的规则时，规则才会请求更改权限。