Django:非员工用户可以登录管理页面

时间:2016-03-23 22:47:56

标签: python django

Python 3.5.1和Django 1.9

我在项目中创建了一个自定义用户模型:

from django.db import models
from django.contrib.auth.models import (
    BaseUserManager, AbstractBaseUser
)


class UserManager(BaseUserManager):
    def create_user(self, username, password=None):
        user = self.model(
            username=username,
        )

        user.set_password(password)
        user.save(using=self._db)
        return user

    def create_superuser(self, username, password):
        user = self.create_user(
            username,
            password=password,
        )

        user.is_admin = True
        user.is_superuser = True
        user.save(using=self._db)
        return user


# Users
class User(AbstractBaseUser):
    username = models.CharField(
        unique=True,
        max_length=50,
    )
    bio = models.TextField()

    is_active = models.BooleanField(default=True,
                                    verbose_name="Active",
                                    help_text="lorem")
    is_admin = models.BooleanField(default=False,
                                   verbose_name="Staff status",
                                   help_text="lorem")
    is_superuser = models.BooleanField(default=False,
                                       verbose_name="Superuser status",
                                       help_text="lorem")

    objects = UserManager()

    USERNAME_FIELD = 'username'

    def get_full_name(self):
        return self.username

    def get_short_name(self):
        return self.username

    def is_staff(self):
        return self.is_admin

    def __str__(self):
        return self.username

    def has_perm(self, perm, obj=None):
        return True

    def has_module_perms(self, db):
        return True

我按照官方文档here

中的指南进行操作

在settings.py中定义了AUTH_USER_MODEL

一切似乎与自定义用户模型,execpt ...

一起正常工作

任何用户都可以登录管理界面。这当然是是好事

非管理员用户身份登录时,以下是管理界面的屏幕截图:non-admin login

此处以实际管理员用户身份admin login

进行记录

请注意右上角。使用非管理员用户登录时,菜单不会显示。奇怪。

管理员和非管理员用户都可以完全访问管理界面,他们可以添加,更改和删除条目。

显然这是一个可怕的安全问题,我甚至不知道从哪里开始调整

2 个答案:

答案 0 :(得分:6)

您需要将is_staff变为属性。如果您使用内置的用户模型,Django希望它是一个模型字段,这意味着对员工状态的所有检查都发生在if user.is_staff:,而不是if user.is_staff():。您需要做的就是在is_staff方法定义之前包含一行:

@property
def is_staff(self):
    return self.is_admin

由于Python在布尔上下文中使用时认为每个函数对象都是True,因此所有用户都会通过is_staff的检查。

如果您想知道管理员在“STAFF STATUS”列中显示正确值的原因,那是因为is_staff列在用户模型的默认list_display的{​​{1}}中,ModelAdmin检查ModelAdmin中的项目是否可以调用,如果是,可以调用它们。但是,这只是为了显示值(因为list_display是一种更通用的机制),而不是用于任何实际的访问控制检查。

答案 1 :(得分:0)

您从AbstractBaseUserPermissionsMixin获得遗产。

您刚在User类中添加了“bio”字段。 也许只是从AbstractUser延伸而不是AbstractBaseUser。 AbstractUser拥有大部分重要的东西,你可以在那里包括你的生物领域

相关问题
最新问题