如何防止Django Admin用户更改其他管理员用户的配置文件数据？

Question

我有管理员用户由教师课程扩展/分类。

如何防止教师无法看到和更改其他教师的个人资料数据和教师能只能改变自己的记录/行？提前致谢！

Answer 1

我不知道我知道你想要做什么，但如果是在你的心中是有内置的教师用户略有不同工作的用户管理页面，那么我相信你必须要延长UserAdmin，并覆盖queryset方法。

class TeacherSpecificUserAdmin(UserAdmin): 
    def queryset(self, request): 
    if request.user.is_teacher(): 
     return Teacher.objects.filter(pk=request.user.pk) 
    return UserAdmin.queryset(self, request) 

这会照顾禁止教师进行编辑或删除其他记录的，因为如果你在ModelAdmin代码，change_view和delete_view方法看使用查询集从queryset方法返回去更改或删除的对象。

需要再调整一次，因为用于更改UserAdmin中的密码的视图不会使用与其他视图相同的系统来更改对象。只需在您的新课程中覆盖它：

... 
def user_change_password(self, request, id): 
    if request.user.is_teacher() and request.user.pk != int(id): 
    # PermissionDenied is in django.core.exceptions 
    raise PermissionDenied 
    return UserAdmin.user_change_password(self, request, id) 
... 

之后，您只需阻止教师添加新用户或删除他们自己的记录。做，要么使用默认​​，或通过重写has_add_permission和has_delete_permission方法。

看看ModelAdmin的源代码，如果你想要更多的信息（在contrib/admin/options.py）。

Answer 2

目前没有简单的方法来做到这一点，但object level permissions即将在Django 1.2 - 即使你必须做一些工作，让它在管理员工作。

幸运的是有一个Django Advent article这可以解释你需要做什么。

Answer 3

有可能是没有办法做到这一点的生成。

见permission docs：

权限每对象类型的全局设置，而不是每个特定对象实例。例如，它可以说“玛丽可以修改的新闻故事，”但它不是目前可以说“玛丽可以修改的新闻故事，但只有那些她创造自己”或者“玛丽只能改变有一定的地位新闻报道，出版日期或ID。“后者的功能是Django开发人员目前正在讨论的内容。

但是，显然，object level permissions即将到来。