环境

odoo-14.0.post20221212.tar

base_user_role-12.0.2.1.2.zip

下载地址:

https://apps.odoo.com/apps/modules/12.0/base_user_role/

权限管理简介

为了更好的熟悉权限,我们先来了解下用户,odoo中的用户分为三类:

  • 内部用户(Internal User): 企业内部的用户,拥有对系统内部的访问权限,也就是说有odoo后端的访问权限。
  • 门户用户(Portal): 非企业内部用户,通常为业务合作伙伴用户,拥有有限的资源访问权限。
  • 公共用户(Public): 面向公众的权限,可以理解为游客权限。

提示:管理员登录系统,激活开发者模式,即可在设置-用户详情页对用户类型进行编辑(Settings -> Users & Companies -> Users)

以上三类用户的信息都存在res_userres_partner表中,那么在odoo中如何区分用户类型以及如何做权限控制的呢?

为了解决上述问题,odoo采用了用户组机制。将用户划分为不同的组(一个用户可以归属多个用户组,一个用户组也可以拥有多个用户),然后给组分配权限,从而实现用户权限的管控及用户类型识别。

以上三种用户分别归属以下用户组:

  • 内部用户:base.group_user
  • 门户用户:base.group_portal
  • 公共用户:base.group_public

odoo也支持自定义用户组(Settings -> Users & Companies -> Groups),并为用户分配不同的用户组,及设置相关权限(菜单权限,视图权限,访问权限,记录规则)

此外,为了更方便的管理用户组,odoo还支持对用户组(group)进行分类:将多个用户组划分为一个用户组分类(category)。

  • 用户组和用户组分类:一个用户组分类可以拥有多个用户组,一个用户组仅归属一个用户组分类,属于1对多的关系。
  • 用户组和用户组的关系:用户组可以被用户组继承(伪继承),当继承某个用户组时,本组用户也会自动加入继承的用户组。如果一个用户属于多个用户组,那么该用户权限为用户组权限的并集,因此设计用户组权限时一定要考虑好组与组之间权限是否会发生冲突。

定义用户组(权限组)

示例:xml数据文件的方式定义菜单权限用户组

                                   [房地产]模块菜单权限              1                                      Real Estate                                                    

说明:

noupdate:如果数据文件的内容预期只应用一次(只加载一次,安装或者更新模块时),则可以将noupdate设置为1。如果文件中的部分数据需要应用一次,则可以将文件的这部分放在中,如下:

                                

参考连接:https://www.odoo.com/documentation/14.0/zh_CN/developer/reference/addons/data.html?highlight=noupdate

base.user_adminadmin用户(ID为2的用户,用户数据定义在odoo\addons\base\data\res_users_data.xml

base.user_root__system__用户(ID为1的用户,technical admin )

category定义相关数据存储在ir_module_category表中

添加的group,可以在Settings -> Users & Groups -> Groups界面看到,组定义相关数据存储在res_groups表中

eval语法说明

  • (0, 0, values) 从提供的valueS字典创建新记录,形如(0, 0, {'author': user_root.id, 'body': 'one'})
  • (2, ID, values) 使用values字典中的值更新id值=ID的现有记录
  • (2, ID) 删除id=ID这条记录(调用unlink方法,删除数据及整个主从数据链接关系)
  • (3, ID) 删除主从数据的链接关系但是不删除这个记录
  • (4, ID) 为id=ID的数据添加主从链接关系
  • (5) 去除所有的链接关系,也就是循环所有的从数据且调用(3,ID)
  • (6, 0, [IDs]) 用IDs中的记录替换原来链接的记录(相当于先执行(5)再循环执行(4, ID)

拓展:

odoo中有个特殊的组base.group_no_one,需要开启Debug模式才可获取该组权限。可以利用该特性实现隐藏对象需求,比如针对一些常规下不需要显示的特殊字段,为其设置属性groups = "base.group_no_one",可以实现在非Debug模式下隐藏字段在视图中的显示。

菜单访问权限应用实例

estate/security/security_estate_property_menu_groups.xml

                          [房地产]模块菜单权限             1                                      Real Estate                                                                Real Estate -> Advertisements                                                                Real Estate -> Advertisements -> Properties                                                

estate/__manifest__.py

#!/usr/bin/env python# -*- coding:utf-8 -*-{    'name': 'estate',    'depends': ['base'],    'data':[        'security/security_estate_property_menu_groups.xml',        //...略    ]}

菜单配置

views/estate_menus.xml

                                                        

查看效果

注意:

  1. 实践时发现,通过界面点击,访问一些菜单界面时,会在菜单访问URL(参见菜单访问自动生成的URL)中自动添加model,view_type等参数,也就是说会自动访问模块相关模型,如果此时没有对应模型的访问权限(至少需要 read权限),那么即便拥有对应菜单的访问权限,界面上也看不到对应的菜单,笔者尝试过在浏览器中直接通过菜单链接(形如二级导航菜单http://localhost:8888/web#action=85&cids=1&menu_id=127)访问菜单,发现界面上不会显示任何菜单。

    菜单访问自动生成的URL

    http://localhost:8888/web#action=85&model=estate.property&view_type=kanban&cids=1&menu_id=70
  2. 通过上述方式实现的菜单访问权限控制,实际是通过控制是否隐藏菜单实现的,也就说,如果知道未授权菜单ID,还是可以通过菜单ID拼接菜单URL进行未授权访问。

模型访问权限(Access Rights,表级别)

当模型中没有定义任何访问权限时,odoo会认为没有任何用户可以访问数据,并在日志中打印:

2022-12-14 09:01:38,994 32508 WARNING odoo odoo.modules.loading: The model estate.property has no access rules, consider adding one. E.g. access_estate_property,access_estate_property,model_estate_property,base.group_user,1,0,0,0 

访问权限被定义为ir.model.access 模型记录。每个访问权限关联一个模型,一个group(针对全局访问,没有组) 和一系列权限:create, read, writeunlink(等同于delete)。这些访问权限通常定义在security/ir.model.access.csv文件中。

test.model模型访问权限配置示例

id,name,model_id/id,group_id/id,perm_read,perm_write,perm_create,perm_unlinkaccess_test_model,access_test_model,model_test_model,base.group_user,1,0,0,0
  • id 自定义外部标识,模块中保持唯一,一般命名为 access_模型名称_用户组名称
  • name 自定义ir.model.access的名称,一般命名沿用id取值即可
  • model_id/idmodel_id:id 代指需要应用访问权限的模型。标准格式为 model_,其中, 为模块中_name 替换._后的_name 的值
  • group_id/idgroup_id:id 代指需应用访问权限的组,即指定哪个组拥有如下访问权限,如果指定组不是在当前模块中定义的组,需要指定模块名称,形如module_name.groupName。组名一般命名为group_模型名称_权限,形如group_estate_property_read 。如果 group_id为空,则意味着授权给所有用户(非雇员(employees) ,比如 portal 或者public用户).
  • perm_read,perm_write,perm_create,perm_unlink: 分别代表create(创建), read(只读/查询), write (编辑/更新)和unlink(删除)权限,1表示有访问权限,0-表示无权限

具体到实际应用时,为了更灵活的权限管理,一般会为模型的增删改查操作分别定义权限。

授权给用户的模型访问权限,可通过点击Settings -> Users & Groups -> Users用户详情页Access Rights按钮查看。

应用实例

xml数据文件的方式定义房地产模型访问权限

estate/security/security_estate_property_model_groups.xml

                          [房地产]模型权限             1                                              [房地产]模型 只读                                                                [房地产]模型 更新                                                                [房地产]模型 创建                                                                [房地产]模型 删除                                                

estate/security/ir.model.access.csv

id,name,model_id/id,group_id/id,perm_read,perm_write,perm_create,perm_unlinkaccess_estate_property_group_estate_property_read,access_estate_property_group_estate_property_read,model_estate_property,group_estate_property_read,1,0,0,0access_estate_property_group_estate_property_write,access_estate_property_group_estate_property_write,model_estate_property,group_estate_property_write,1,1,0,0access_estate_property_group_estate_property_create,access_estate_property_group_estate_property_create,model_estate_property,group_estate_property_create,1,0,1,0access_estate_property_group_estate_property_delete,access_estate_property_group_estate_property_delete,model_estate_property,group_estate_property_delete,1,0,0,1

estate/__manifest__.py

#!/usr/bin/env python# -*- coding:utf-8 -*-{    'name': 'estate',    'depends': ['base'],    'data':[        'security/security_estate_property_menu_groups.xml',        'security/security_estate_property_model_groups.xml',        'security/ir.model.access.csv',         //...略    ]}

查看效果

打开用户编辑界面

记录规则(Record Rules,记录级别)

记录规则是允许某个操作必须满足的条件。记录规则按照访问权限逐条记录评估。

默认允许的记录规则:如果授予模型访问权限(Access Rights),并且没有规则适用于用户的操作和模型,则授予访问权限

记录规则保存在ir.rule模型表里,我们通过管理ir_rule表中的记录,即可控制记录的访问权限

定义规则

示例:xml数据文件的方式定义房地产模型记录访问规则

                                [房地产]模型记录规则                        [('create_uid', '=', user.id)]                                                                                    
  • name

    规则名称

  • model_id

    需要应用规则的模型,标准格式为 model_,其中, 为模块中_name 替换._后值

  • groups

    指定规则需要作用、不作用于哪些组(res.groups)。可以指定多个组。如果未指定组,规则为gobal规则。规则与组的关联关系存在rule_group_rel表中

  • global

    根据“groups”计算,提供了对规则是否全局状态的轻松访问。eval="True"eval="1"则表示全局规则,eval="False"eval="0"则表示非全局规则

  • domain_force

    指定为 domain的谓词,如果该domain与记录匹配,则规则允许所选操作,否则禁止。可以简单的理解为指定过滤条件,用户只能访问符合本过滤条件的记录,配置为 [(1,'=',1)]则表示匹配所有记录。domain是一个可以使用以下变量的python表达式:

    • time

      Python的 time 模块

    • user

      以单例记录集(singleton recordset)表示的当前用户

    • company_id

      当前用户,当前所选的公司的公司id(非记录集)。

    • company_ids

      当前用户可以访问的公司ID列表(非记录集)。 查看Security rules 获取更多详细信息。

官方文档:

The perm_method have completely different semantics than for ir.model.access: for rules, they specify which operation the rules applies for. If an operation is not selected, then the rule is not checked for it, as if the rule did not exist.

All operations are selected by default

译文:

perm_method 具有与 ir.model.access完全不同的语义:对于规则,它们指定规则需要应用的操作。如果(规则)未选择某个操作,则不会为该操作检查规则,就像该规则不存在一样。

规则默认适用所有操作。

笔者实践发现:

  • 如果创建了规则,但是没有授权给用户,那对于该用户来说,该规则不起作用,就像该规则不存在一样
  • perm_methodeval值不能同时为"False""0",否则会违反 ir_rule表的检查约束ir_rule_no_access_rightsCHECK (perm_read!=False or perm_write!=False or perm_create!=False or perm_unlink!=False)
  • 将任意一个perm_method设置为eval="True"eval="1" ,并将规则授权给用户,规则生效,所以我个人理解,目前记录规则,就是用于过滤记录的,通过domain_force控制哪些记录可以显示给用户

规则默认适用所有操作。

  • perm_create

  • “perm_read`

  • perm_write

  • perm_unlink

  • 授权给用户的记录访问规则,可通过点击Settings -> Users & Groups -> Users用户详情页Record Rules按钮查看。

全局规则(Global rules) VS 组规则(group rules)

全局规则和组规则在组成和组合方式上存在很大差异:

  • 全局规则和全局规则之间取交集,如果两个全局规则都生效,则必须满足两者才能授予访问权限,这意味着添加全局规则总是会进一步限制访问。
  • 组规则和组规则之间取并集,如果两个组规则都生效,则满足其中之一就可以授予访问权限。这意味着添加组规则可以扩展访问,但不能超出全局规则定义的范围。
  • 全局规则集和组规则集之间取交集,这意味着添加到给定全局规则集的第一个组规则将限制访问。

危险提示

创建多个全局规则是有风险的,因为可能创建不重叠的规则集,这将删除所有访问权限

应用实例

estate/security/security_estate_property_model_groups.xml,新增group_estate_property_record_query

                          [房地产]模型权限             1                                              [房地产]模型 只读                                                                [房地产]模型 更新                                                                [房地产]模型 创建                                                                [房地产]模型 删除                                                                                  [房地产]模型记录 查询                                                       

estate/security/security_estate_property_model_record_rules.xml

                                [房地产]模型记录规则                        [('create_uid', '=', user.id)]                                                                        

estate/__manifest__.py

#!/usr/bin/env python# -*- coding:utf-8 -*-{    'name': 'estate',    'depends': ['base'],    'data':[                'security/security_estate_property_menu_groups.xml',        'security/security_estate_property_model_groups.xml',        'security/security_estate_property_model_record_rules.xml',        'security/ir.model.access.csv',        //...略    ]}

查看效果

参考连接:https://www.odoo.com/documentation/14.0/zh_CN/developer/reference/addons/security.html#record-rules

字段权限(Field Access,字段级别)

ORM字段可以具有提供组列表的groups属性(值为逗号分隔的组XML ID列表,如groups='base.group_user,base.group_system'注意:groups属性值格式:moduleName.groupName,其中moduleNamegroupName组所在模块名称,必不可少

如果当前用户不在列出的组中,他将无权访问该字段:

  • 将自动从请求的视图中删除受限制的字段
  • fields_get()响应中删除受限制的字段

尝试(显式的)读取或写入受限字段会导致访问错误

修改estate\security\security_estate_property_model_groups.xml,添加group_estate_property_selling_price_field

                                [房地产]模型 售价字段                                                                [房地产]模型记录 查询                                                

查看效果

修改estate\views\estate_property_views.xml视图selling_price字段,添加groups属性

验证,发现界面上,未授权上述框选权限的用户已经看不到上述字段了

注意:通过为当前视图中目标字段添加groups属性实现的权限控制仅作用于当前视图,如果希望当前视图模型(Model)的所有视图中,对该字段实现统一的权限控制话,需要在模型定义中,为目标字段添加groups属性,如下

selling_price = fields.Float('selling price', digits=(8, 2), readonly=True, copy=False, groups="estate.group_estate_property_selling_price_field")

参考连接:https://www.odoo.com/documentation/14.0/zh_CN/developer/reference/addons/security.html#field-access

扩展:在页面从数据库加载视图时,会通过load_view接口,会调用fields_view_get方法,可以重写此方法以控制xml显示的效果(参考网络资料,未实践验证)

按钮权限(按钮级别)

类似字段权限控制,仅需在在对应视图中,为目标按钮