odoo学习笔记---1、权限管理

本笔记在学习中修正，笔记内容来自网络上的参考资料和个人感悟，欢迎批评指正。

Odoo中的权限管理针对四类对象：模型、记录、菜单和视图。

基础知识

• 对模型和记录的权限管理通过security目录下的 ir.model.access.csv文件和security.xml文件实现；
• ir.model.access.csv文件中设置权限组与模型的对应关系，配置读、写、创建、删除权限，注：这个里面的组名由开发人员自由设置；
• security.xml文件中配置开发的组权限与系统res.groups中的映射关系，这个记录会写到res.groups中；注，这个里面用户的名字最好和业务商量着设置；
• 最后当业务运行时，可在设置用户时建立用户与组权限的关系。

一、模型权限设置

      在一个模块中新建了一个模型都必须对此模型进行权限配置，因为默认模型是没有任何权限设置的，开发的时候使用admin账号可以看到但正常账户是无法看见模型的。所以这是最基本的权限配置，哪怕你的模块没有特殊权限对所有人都开放也必须进行配置。

• 对模型的权限设置一般是在security/ir.model.access.csv文件中进行配置。格式如下

• # 第一行是表头，表示分别需要填入的值 即 id,name,模型，用户组，最后四个为读，写，创建，删除权限
  id,name,model_id:id,group_id:id,perm_read,perm_write,perm_create,perm_unlink

  id是系统用来识别每一个模型权限设置的唯一识别，所以必须是一个唯一值，name是个人用于识别模型权限的识别字段，也要唯一。其实这两个字段只要保持唯一性即可按照个人习惯进行命名。当然官方也提供了一个推荐命名规则：

• id: access_模型名_特定用户组名
• name：模型名.用户组名
  第三个字段是指定模型就必须按照规则写了
• model: model_模型名
  第四个字段用户组，一般为空代表对所有用户组执行。
  后四个权限字段 1表示有权限 0表示没有权限
  所以一条权限定义:
  access_my_model,my_model,model_my_model,,1,1,1,0
  解读为所有用户拥有对模型my_model的读，写，创建权限但是没有删除权限。
  对一个模块可以设置多个权限明细，比如新增一条权限定义
  access_my_model_system,my_model.system,model_my_model,base.group_system,1,1,1,1
  解读为在base.group_system用户组里的用户拥有对模型my_model的读，写，创建权限但是没有删除权限。

       1.1、用户组设置

      在上面我们说到了用户组的概念，其实这就是字面分组的意思，在不同的组的人可以有不同的权限，当然一个用户可以拥有多个用户组。

• 用户组定义一般是在security/security.xml中
  一个用户组的定义如下：

• # 首先定义一个用户组的类别 同一个类别中有不同的用户组但是用户只能选择其中一个，类别的意思可以理解开发的模块名称，这个例子中，就是制造模块的意思
  <record id="module_mrp" model="ir.module.category">
    <field name="name">制造</field>
    <field name="sequence">27</field>
    <field name="comment">制造权限类别</field>
  </record>
  
  # 定义一个员工组
  <record id="mrp_group_user" model="res.groups">
    <field name="name">用户</field>
    <field name="comment">制造普通用户</field>
    # 属于哪一个用户组类别，填入上面点定义用户组类别的id
    <field name="category_id" ref="module_mrp"/>
    # 继承用户 ，继承使base.group_user里的用户都属于整个用户组
    <field name="implied_ids" eval="[(4, ref('base.group_user'))]"/>
  </record>
  
  # 定义一个经理组
  <record id="mrp_group_manager" model="res.groups">
    <field name="name">经理</field>
    <field name="comment">制造管理员</field>
    <field name="category_id" ref="module_mrp"/>
    <field name="implied_ids" eval="[(4, ref('mrp_group_user'))]"/>
    # 默认用户 ，设置base.user_root用户组里的用户也是该用户组用户
    <field name="users" eval="[(4, ref('base.user_root'))]"/>
  </record>
  

  eval 解析
  (4,ID)添加主从链接关系到id=ID的对象。

  (3,ID)去除和id=ID的对象主从链接关系,但是不删除这个对象

  (2,ID) 去除和id=ID的对象主从链接关系,并且删除这个对象（调用unlink方法）

  (5) 去除所有的链接关系,也就是循环所有的从数据且调用(3,ID)

  (6,0,[IDs]) 用IDs里面的记录替换原来链接的记录，即先执行(5)再循环IDs执行（4,ID）

其实无论使用implied_ids还是users都是为了给新建的用户组填入默认用户，但这并不是一定要设置的。

       1.2、基于用户组的权限控制

      建立用户组后我们可以进行按组对字段进行权限控制

• 在模型的xml视图中

# 在网页展示的视图中，只有mrp_group_manager的用户才能看到name字段
<field name="name" groups="mrp.mrp_group_manager"/>

注意调用其他模块的用户组一定要加上模块名.

• 在python代码中

# name字段只有mrp_group_user，mrp_group_manager用户则才能看见，但只有mrp_group_manager用户能进行编辑
name = fields.Char(string=u'名字',read=['mrp_group_user','mrp_group_manager'],
        write=['mrp_group_manager'])

二、记录管理规则

以上两个都是针对整个模型而言设置的权限，接下来就是针对模型中不同的记录进行权限设置，比如员工只能看见自己创建的订单而看不了别人的。

<record model="ir.rule" id="mrp_user_rule">
  <field name="name">查看自己的订单</field>
  # model_id 作用于哪个模型 值为 model_模型名
  <field name="model_id" ref="model_mrp"/>
  # 设置domain 创建者为当前用户
  <field name="domain_force">[('create_uid','=',user.id)]</field>
  # 该规则使用于哪个用户组mrp
  <field name="groups" eval="[(4, ref('mrp.mrp_group_user'))]"/>
  # 还可以详细配置对记录的读写创建删除权限
  <field name="perm_read" eval="1" />
  <field name="perm_write" eval="1" />
  <field name="perm_create" eval="1" />
  <field name="perm_unlink" eval="0" />
</record>

总结

从对模型权限设置，到基于用户组可以对每个字段进行的权限控制，再加上利用设置权限规则可以对记录进行权限。odoo的权限管理还是十分完善的，合理的配合使用基本上是可以完成任何复杂的权限设置的。