이에 응!

permission_required_or_403에는 accept_global_perms 매개변수가 있지만 get_obj_perms로 동일한 작업을 수행할 수 있는 방법이 보기에 없습니다.

전역 권한을 포함하는 get_obj_perms_with_global 태그를 제안합니다.

이 길을 이미 시작했는지는 모르겠지만 패치 작업을 시작하겠습니다. 이미 시작하셨다면 주저하지 마시고 저를 멈춰주세요 :)

추신: 기본 동작이 전역 권한을 포함해야 한다는 주장이 있다고 생각합니다. "사용자 X가 Y를 개체 Z로 할 수 있습니까?"라고 물을 때 모든 사용자/개체, 그룹/개체를 확인하는 것을 의미 , 사용자/전역, 그룹/전역 권한. 그러나 그것은 단지 내가 그것을 사용하는 방식 때문일 수 있습니다.

모든 것을 말했지만, 전역 권한을 별도로 확인하는 것은 매우 간단합니다...흠.

Pesticles: 이것이 얼마나 혼란스러운지에 대한 증거로 가디언에 대한 충분한 문제가 있습니다. 우리는 6개월마다 조금씩 알아냅니다... 만약 그들이 전역 권한은 있지만 객체 수준 권한은 없는 경우 request.user.has_access('foo', obj)가 true여야 한다면. 수표를 두 번 쓰는 것은 좋지 않습니다.

이를 변경하려면 어떻게 해야 합니까?

누군가가 pull 요청을 작성해야 한다고 생각합니다... 이상적으로는 기존 코드를 손상시키지 않는 방식입니다(이것이 제정신이고 실현 가능한지 여부는 모르겠습니다).

오래된 문제지만 아직 pull 요청이 표시되지 않습니다. 이것에 대한 소식이 있습니까? 나는 같은 행동을 하고 있는데, 그것은 그다지 예측할 수 없다고 생각합니다. 무리 감사!

개체 수준이 실패할 때 전역으로 대체할지 여부와 방법에 대한 더 많은 통찰력이 있었기 때문에 #49에 몇 가지 의견을 추가했습니다. 닫힌 문제가 알림을 발생시키는지 확실하지 않으므로 여기에 추가합니다.

디자인 결정에 따라 이러한 문제 중 일부에 대해 작업할 의도가 있습니다.

이러한 문제를 도와드리겠습니다.

327은 나에게 고정 된 것 같습니다.

```
brandon=Person.objects.get(first_name='BRANDON')
brandon.is_superuser
거짓

학교=School.objects.get(pk=1)

get_users_with_perms(학교, attach_perms=참, with_superusers=거짓, with_group_users=거짓)
{}

assign_perm('add_school', 브랜든, 학교)

get_users_with_perms(학교, attach_perms=참, with_superusers=거짓, with_group_users=거짓)
{: ['학교 추가']}

mehmet=Person.objects.get(first_name='메흐멧')
mehmet.is_superuser
진실

get_users_with_perms(학교, attach_perms=True, with_superusers=True, with_group_users=False)
{: [],: ['학교 추가', '학교 변경', '학교 삭제']}

assign_perm('add_school', mehmet, 학교)

get_users_with_perms(학교, attach_perms=True, with_superusers=True, with_group_users=False)
{: [],: ['학교 추가', '학교 변경', '학교 삭제']}

get_users_with_perms(학교, attach_perms=참, with_superusers=거짓, with_group_users=거짓)
{: ['학교 추가'],: ['학교 추가']}

#155:

get_obj_perms_field_choices (self) 다음 두 줄 추가를 요청합니다.

        if self.exclude_default:
            choices = list(set(choices).intersection(self.obj._meta.permissions))

모델의 기본 권한을 제외합니다. 첫째, intersection 가 어떻게 되는지 명확하지 않습니다. 둘째, 개체 대 모델 권한과 관련이 없는 것 같습니다. 내가 누락 된 것이 있으면 저를 수정하십시오.

그러나 그것을 조사하는 동안 다음에서 객체와 모델 권한을 분리해야 한다는 것을 알았습니다.

    def save_obj_perms(self):
        """
        Saves selected object permissions by creating new ones and removing
        those which were not selected but already exists.

        Should be called *after* form is validated.
        """
        perms = self.cleaned_data[self.get_obj_perms_field_name()]
        model_perms = [c[0] for c in self.get_obj_perms_field_choices()]

        to_remove = set(model_perms) - set(perms)
        for perm in to_remove:
            remove_perm(perm, self.user, self.obj)

        for perm in perms:
            assign_perm(perm, self.user, self.obj)

권한이 누락된 모든 권한을 개체 수준에서 저장하는 것처럼 보이지만 제 생각에는 모델 수준에서 사용 가능한 모든 권한을 건너뛰거나 해당 목적에 대한 옵션을 제공해야 합니다.

나는 다음과 같은 전역 설정 생각 GUARDIAN_FALLBACK_TO_MODEL=False 와 같은 적용 방법에 대한 인수 fallback_to_model=False 개체 사용 권한 및 모델 권한을 제대로 묘사에 필요합니다. 기본값 False 은 이전 버전과의 호환성을 보장합니다. 전역 또는 인수 설정 중 하나가 True이면 대체가 발생해야 합니다.

GUARDIAN_FALLBACK_TO_MODEL에 대해 +1입니다.

#49에 대한 토론에 따르면 이 설정은 ObjectPermissionBackend가 명시적인지 여부를 제어하는 ​​데도 잘 작동할 수 있다고 생각합니다.

풀 리퀘스트(#546)를 생성했습니다. core.py 옵션의 검사기 기능이 모델 수준 권한으로 폴백(또는 포함)할 수 있도록 합니다. 다른 모듈도 검토해야 합니다. 사용하면서 리뷰할 예정입니다. 누구든 뛰어들고 싶다면 가장 환영합니다.

#327이 더 이상 존재하지 않는 것 같습니다. #332는 수락된 경우 위의 pull 요청에 의해 수정됩니다. #155(위에서 언급)와 관련된 단 하나의 측면 문제가 남아 있습니다. 그것 또한 처리되었다면(또는 별도의 이슈로 옮겨졌다면), 이 이슈는 종결될 수 있다고 생각합니다.

전역 권한은 설정된 경우 개체 수준 권한에 대해 여전히 존중되지 않습니다. 제가 잘못 알고 있습니까?

u = User.objects.get(id=1)
c = Client.objects.get(id=1)
assign_perm('core.change_client', u)
u = User.objects.get(id=1)  # reloading user for perm refresh
u.has_perm('core.change_client')  # True
u.has_perm('core.change_client', c)  # False
u.has_perm('change_client', c)  # False
get_perms(u, c)  # []

그리고 GUARDIAN_GLOBAL_PERMISSIONS_CARRY_OVER 또는 FALLBACK_TO_MODEL 은 무엇을 합니까? 둘 다 문서화 된 것 같지 않습니다.

이것을 core.py 에 추가하는 것으로 충분하지 않을까요?

get_user_perms:126 모든 사용자 권한 확인의 중심인 것 같습니다. 부울 플래그를 사용하여 대안적으로 트리거 가능

def get_user_perms(self, obj):
    # ....
    user_global_perms = Permission.objects.filter(content_type=ctype)\
                                        .filter(user=self.user)\
                                        .values_list('codename', flat=True)
    user_object_perms = user_perms_qs.values_list("codename", flat=True)
    user_perms = list(chain(user_global_perms, user_object_perms))
    return user_perms