时间戳

首页 > 解决方案 > 如何限制非员工用户访问 django-admin

django - 如何限制非员工用户访问 django-admin

问题描述

我的 django-admin 页面位于

http://127.0.0.1:8000/admin/

假设我的网站上有 3 个用户。

  1. 超级用户
  2. 职员
  3. 最终用户

如果这三个用户中的任何一个尝试访问此链接http://127.0.0.1:8000/admin/,第一个和第二个都可以访问它。最终用户无法访问它。到此为止,还好。

我想要做的是向最终用户显示 Error 404 。他/她不应该知道这个链接是用于管理页面的。此外,如果有人没有登录,他们也应该看到相同的 404 页面。

我已经引用了此链接,但它会将我带到另一个默认页面。

相同的 PFA

在此处输入图像描述

PS:我正在使用Signin With Google,所以它不应该将我重定向到那里。

我连续 3 天尝试这个,所以非常感谢任何帮助。提前致谢。

Django 版本:3. 0. 5

标签: djangodjango-admin

解决方案

您首先需要制作一个自定义装饰器,如果用户不是员工,它会给出 404:

from django.http import Http404
from functools import wraps

def staff_required(func):
    @wraps(func)
    def wrapper(request, *args, **kwargs):
        if request.user.is_staff:
            return func(request, *args, **kwargs)
        raise Http404()
    return wrapper

接下来,我们将按照您的链接问题中的描述使用此装饰器:

from django.contrib import admin

admin.site.login = staff_required(admin.site.login)

urlpatterns = [
    path('admin/', admin.site.urls),
]

编辑:上面的方法有点笨拙,即使它给出了 404 错误,它也会向用户显示登录页面 url。最好制作一个自定义管理站点类并使用它。管理站点有一个方法admin_view来装饰我们将覆盖的管理视图。我们将admin.py在项目主应用程序的文件中执行此操作(假设项目名为myproject

from functools import update_wrapper

from django.contrib import admin
from django.http import (
    Http404, HttpResponseRedirect,
)
from django.urls import reverse
from django.views.decorators.cache import never_cache
from django.views.decorators.csrf import csrf_protect


class MyAdminSite(admin.AdminSite):
    def admin_view(self, view, cacheable=False):
        def inner(request, *args, **kwargs):
            if not self.has_permission(request):
                if request.path == reverse('admin:logout', current_app=self.name):
                    index_path = reverse('admin:index', current_app=self.name)
                    return HttpResponseRedirect(index_path)
                raise Http404()
            return view(request, *args, **kwargs)
        if not cacheable:
            inner = never_cache(inner)
        # We add csrf_protect here so this function can be used as a utility
        # function for any view, without having to repeat 'csrf_protect'.
        if not getattr(view, 'csrf_exempt', False):
            inner = csrf_protect(inner)
        return update_wrapper(inner, view)

现在我们需要用我们的自定义管理站点替换默认管理站点。为此,我们将遵循Overriding the default admin site [Django docs]

在项目主应用程序的apps.py文件中(假设项目被命名myproject):

from django.contrib.admin.apps import AdminConfig

class MyAdminConfig(AdminConfig):
    default_site = 'myproject.admin.MyAdminSite'

现在settings.py我们将替换'django.contrib.admin'为我们自己的配置类:

INSTALLED_APPS = [
    ...
    'myproject.apps.MyAdminConfig',  # replaces 'django.contrib.admin'
    ...
]

推荐阅读