django - 如何限制非员工用户访问 django-admin
问题描述
我的 django-admin 页面位于
假设我的网站上有 3 个用户。
- 超级用户
- 职员
- 最终用户
如果这三个用户中的任何一个尝试访问此链接http://127.0.0.1:8000/admin/,第一个和第二个都可以访问它。最终用户无法访问它。到此为止,还好。
我想要做的是向最终用户显示 Error 404 。他/她不应该知道这个链接是用于管理页面的。此外,如果有人没有登录,他们也应该看到相同的 404 页面。
我已经引用了此链接,但它会将我带到另一个默认页面。
相同的 PFA
PS:我正在使用Signin With Google,所以它不应该将我重定向到那里。
我连续 3 天尝试这个,所以非常感谢任何帮助。提前致谢。
Django 版本:3. 0. 5
解决方案
您首先需要制作一个自定义装饰器,如果用户不是员工,它会给出 404:
from django.http import Http404
from functools import wraps
def staff_required(func):
@wraps(func)
def wrapper(request, *args, **kwargs):
if request.user.is_staff:
return func(request, *args, **kwargs)
raise Http404()
return wrapper
接下来,我们将按照您的链接问题中的描述使用此装饰器:
from django.contrib import admin
admin.site.login = staff_required(admin.site.login)
urlpatterns = [
path('admin/', admin.site.urls),
]
编辑:上面的方法有点笨拙,即使它给出了 404 错误,它也会向用户显示登录页面 url。最好制作一个自定义管理站点类并使用它。管理站点有一个方法admin_view
来装饰我们将覆盖的管理视图。我们将admin.py
在项目主应用程序的文件中执行此操作(假设项目名为myproject
)
from functools import update_wrapper
from django.contrib import admin
from django.http import (
Http404, HttpResponseRedirect,
)
from django.urls import reverse
from django.views.decorators.cache import never_cache
from django.views.decorators.csrf import csrf_protect
class MyAdminSite(admin.AdminSite):
def admin_view(self, view, cacheable=False):
def inner(request, *args, **kwargs):
if not self.has_permission(request):
if request.path == reverse('admin:logout', current_app=self.name):
index_path = reverse('admin:index', current_app=self.name)
return HttpResponseRedirect(index_path)
raise Http404()
return view(request, *args, **kwargs)
if not cacheable:
inner = never_cache(inner)
# We add csrf_protect here so this function can be used as a utility
# function for any view, without having to repeat 'csrf_protect'.
if not getattr(view, 'csrf_exempt', False):
inner = csrf_protect(inner)
return update_wrapper(inner, view)
现在我们需要用我们的自定义管理站点替换默认管理站点。为此,我们将遵循Overriding the default admin site [Django docs]:
在项目主应用程序的apps.py
文件中(假设项目被命名myproject
):
from django.contrib.admin.apps import AdminConfig
class MyAdminConfig(AdminConfig):
default_site = 'myproject.admin.MyAdminSite'
现在settings.py
我们将替换'django.contrib.admin'
为我们自己的配置类:
INSTALLED_APPS = [
...
'myproject.apps.MyAdminConfig', # replaces 'django.contrib.admin'
...
]
推荐阅读
- html - 在 Bootstrap Column Divs 中保持动态高度
- reactjs - 导航回组件时阻止 API 调用
- authentication - SalesForce OpenID 问题“ErrorCode=No_Openid_Response&ErrorDescription=Bad+response”
- ios - iOS 14 Widgets 具有更强大的配置能力
- javascript - 导入图像文件夹
- python - 只有在熊猫数据框中以数字开头时才添加前导零
- python - pandas to csv - 保留“$”作为格式
- asp.net-mvc-4 - 如何通过网格刷新读取和更新剑道网格页脚模板值
- java - 从我自己的 Android 应用程序单击我的 Google 地图活动中的标记时打开浏览器 url
- django - 如何在 djando 模型中对某些对象使用 on_delete CASCADE,对其他对象使用 ondelete DO_NOTHING