*許可權管理的四個層次

# 選單級別：不屬於指定選單所包含組的使用者看不到該選單，不客全，只是隱藏

選單，若知道選單ID，仍然可以通過指定URL訪問

# 物件級別：對某個對角是否有'建立，讀取，修改，刪除'的許可權，可以簡單理解為

表物件

# 記錄級別：對物件表中的資料的訪問許可權，比如訪問“客戶”物件，業務員只能對自己建立

的客戶有訪問許可權，而經理可以訪問其管轄的業務員所有的“客戶”物件

# 欄位級別：一個物件或表上的某些欄位的訪問許可權，比如產品的成本欄位只有經理有讀許可權

'name':fields.char('Name',size=128,required=True,select=True,write=['base.group_admin']

read=['base.group_admin'])

定義name欄位只能超級使用者組可讀寫

* 建立許可權組

這是我們常說的使用者組，會通常放在“模組名_security.xml”這個檔案中

例如：

Manager

the user will have an access to the human resources configuration as well as statistic reports.

@name:使用者組名，這個或以翻譯的

@comment:使用者組的註釋

@category_id 使用者組所屬的模組名

@implied_ids 基於哪個使用者組，這個層級關係 是最基礎的

使用者名稱，最初是基於這個，後面一層一層遞增，像上面 base.group_hr_user 定義時就是基於最基礎

@users 預設使用者屬於這個使用者組

* 許可權組

許可權管理核心是許可權組，每個許可權組，可以設定許可權組的 Menus,Access Right, Record Rule

# Menus:

定義該許可權組可以訪問哪些選單，若該許可權組可以訪問某父選單，父選單對應的子選單會顯示出來

若不想顯示其子選單，可以把其子選單加入 "Useablity/No One" 許可權組。

# Access Right:

定義該許可權組可以訪問哪些物件，以及擁有 增、查、改、刪的哪個許可權    (create,read,write,unlink)

# Record Rule:

定義該許可權組可以訪問物件中的哪些記錄，以及擁有 增、查、改、刪的哪個許可權    ，Access Right是

對物件中的所有記錄賦許可權，Record Rule 則通過定義domain過濾指定某些記錄賦許可權

['&',('department','=',user.context_department_id.id),('state','=','pr_draft')]

申購單的部門等於當前使用者的部門，且申購單的狀態是草稿狀態

* 基於組的訪問控制

# 檢視中

運用group_id

sale.order.form.editable.list

sale.order

ref('product.group_stock_packaging'),

ref('sale.group_mrp_properties')])]" />

eval:把eval的值通過作為python運算返回該屬性

ref:檢視的方法，根據 module_name.xml_id 返回資料庫id

[(6,0,[xx,yy])]

(0,_ ,{’field’: value}) 這將建立一個新的記錄並連線它

(1,id,{’field’: value}): 這是更新一個已經連線了的記錄的值

(2,id,_) 這是刪除或取消連線某個已經連線了的記錄

(3,id,_) 這是取消連線但不刪除一個已經連線了的記錄

(4,id,_) 連線一個已經存在的記錄

(5,_,_) 取消連線但不刪除所有已經連線了的記錄

(6,_,[ids]) 用給出的列表替換掉已經連線了的記錄

這裡的下劃線一般是0或False

運用groups

attrs="{'invisible': ['|', ('state','!=','open'), ('sent','=',True)]}" groups="base.group_user"/>

#在模型中

package_id = fields.Many2one(

comodel_name='stock.quant.package', string='Package',

related='quant.package_id', readonly=True,

groups="stock.group_tracking_lot")

要有多個使用者組時，使用者組之間用逗號隔開

#小結

只有在檢視中有完整標籤時，會用group_id,其它都用groups

*訪問許可權管理：

對於其內的資料訪問許可權管理有兩種機制:

第一種是模型訪問許可權管理 (accessrule)；

第二種是記錄規則管理 (record rule)。

record rule 是對accessrule的細化 ，帶條件，比如記錄是什麼狀態的可以訪問

如果不為模組設定規則，預設只有Administator才能訪問這個模型的資料

record rule 對 Administator 使用者是無效的，而access rule還是有效

# access rule

許可權物件模型是 ir.model.access.csv

一般是放在security 資料夾下的 ir.model.access.csv 檔案來管理的

檔案表頭如下：

id,name,model_id:id,group_id:id,perm_read,perm_write,perm_create,perm_unlink

來一個例子：

id,name,model_id:id,group_id:id,perm_read,perm_write,perm_create,perm_unlink

access_payment_notice_account_user,payment.notice.account.user,model_payment_notice,account.group_account_user,1,1,1,1

access_payment_notice_sale_user,payment.notice.sale.user,model_payment_notice,base.group_sale_salesman,1,1,0,0

分析這個是針對 payment.notice 這個模型做訪問許可權設定

可以看一下對應模型定義的程式碼：

class PaymentNotice(models.Model):

_name = "payment.notice"

id:許可權的ID不可重複 一般取名為 access_模型名_特定使用者組名（用下劃線連起來）

name 描述 一般命名沿用模型名用“.”連線加 使用者組名

model_id:id：物件，命名是model_模型名（用下劃線連起來）

group_id:id  組名稱 （模組.使用者組名）

下面的，0 表示無許可權， 1 表示有許可權

perm_read  只讀

perm_write 修改

perm_create 建立

perm_unlink 刪除

# record rule

一般是放在security 資料夾下的 模組名_record_rules.xml 檔案來管理的

對於模型許可權的補充

Personal Payment Notice

['|',('claimed_user_id','=',user.id),('claimed_user_id','=',False)]

All Payment Notice

[(1,'=',1)]

record rule    記錄是 ir.rule 模型， 存在public.ir_rule 表格中

model_id 作用於哪個模型 值為 model_模型名

domain_force 對該模型中所有記錄進行某種過濾操作

常用的 ['|',('user_id','=',user.id),('user_id','=',False)] 表示是自己的單

user_id是記錄的欄位，這個看實際情況改變， user.id 代表當前登入使用者的id

[(1,'=',1)] 表示所有的單

noupdate 值為1 表示升級模組不會更新本資料

base.group_user 是人力資源 / 僱員

perm_read 這些後面，是對 前面模型許可權組設定的覆蓋

* 來一個完整的例子解說：

# 建立組

A

//把admin使用者加入該組中

@ name 組名稱

@ category_id 屬於哪個應用程式，或者哪個模組，為了方便管理

@ users 組裡面的使用者

這樣B應用程式就建立了一個名叫A的組。並且初始化了A組的一個使用者admin

# 組控制選單顯示

A

menu1

1

@ name 選單名稱

@ groups_id 哪些組可以訪問該選單

@ sequence 該選單的序號

這樣A組與B組的成員都可以訪問menu1選單，menu1選單的顯示順序為1

注：eval 後面解釋，多個組訪問用“，”隔開

@ name 選單名稱

@ parent 父類選單 如果沒有可以不寫parent

@ groups哪些組可以訪問該選單

這樣menu1的子選單menu2可以被A組合B組的成員訪問

# 許可權規則

rule1

[1,’=’,1]

@ name 規則名稱

@ model_id 依賴的模組

@ global 是否是全域性

@ domain_force 過濾條件

@ groups 屬於哪個組

這樣A組的成員就可以取到model_model1的所有資料

# ir.model.access.csv

@id 隨便取

@name 隨便取

@model_id:id 這個就是你所定義的物件了

@group_id:哪個組

@perm_read","perm_write","perm_create","perm_unlink" 增刪改查許可權了。1代表有許可權

# Eval

many2many

(0,0,{values}) 根據values裡面的資訊新建一個記錄。

(1,ID,{values})更新id=ID的記錄（寫入values裡面的資料）

(2,ID) 刪除id=ID的資料（呼叫unlink方法，刪除資料以及整個主從資料鏈接關係）

(3,ID) 切斷主從資料的連結關係但是不刪除這個資料

(4,ID) 為id=ID的資料新增主從連結關係。

(5) 刪除所有的從資料的連結關係就是向所有的從資料呼叫(3,ID)

(6,0,[IDs]) 用IDs裡面的記錄替換原來的記錄（就是先執行(5)再執行迴圈IDs執行（4,ID））

例子[(6, 0, [8, 5, 6, 4])] 設定 many2many to ids [8, 5, 6, 4]

one2many

(0, 0,{ values })根據values裡面的資訊新建一個記錄。

(1,ID,{values}) 更新id=ID的記錄（對id=ID的執行write 寫入values裡面的資料）

(2,ID) 刪除id=ID的資料（呼叫unlink方法，刪除資料以及整個主從資料鏈接關係）

例子：

[(0,0,{'field_name':field_value_record1,...}),(0,0,{'field_name':field_value_record})]

many2one的欄位比較簡單，直接填入已經存在的資料的id或者填入False刪除原來的記錄。

# 隱藏的常用技巧

* 直接隱藏

True

* 滿足某些條件的隱藏

{'invisible': [('passenger','=', True)]}

* 通過組來隱藏

base.group_no_one

* 選單的隱藏

* 程式碼分析中的運用

#欄位顯示許可權

#在model中判斷

self.pool.get('res.users').has_group(cr, uid, 'sale.group_discount_per_so_line')

共勉！