授予“用户更改”权限时,如何防止 Django 管理员中的权限升级?
Posted
技术标签:
【中文标题】授予“用户更改”权限时,如何防止 Django 管理员中的权限升级?【英文标题】:How do I prevent permission escalation in Django admin when granting "user change" permission? 【发布时间】:2011-01-18 20:03:51 【问题描述】:我有一个拥有庞大客户群的 django 网站。我想让我们的客户服务部门能够更改普通用户帐户,例如更改密码、电子邮件地址等。但是,如果我授予某人内置的 auth | user | Can change user 权限,他们就可以设置is_superuser 标记任何帐户,包括他们自己的帐户。 (!!!)
为非超级用户员工删除此选项的最佳方法是什么?我确信它涉及子类化django.contrib.auth.forms.UserChangeForm 并将其连接到我已经自定义的UserAdmin 对象中......不知何故。但是我找不到任何有关如何执行此操作的文档,而且我还不太了解内部结构。
【问题讨论】:
【参考方案1】:他们可以在任何帐户上设置 is_superuser 标志,包括他们自己的。 (!!!)
不仅如此,他们还获得了一个接一个地给自己任何权限的能力,同样的效果......
我确定它涉及子类化 django.contrib.auth.forms.UserChangeForm
嗯,不一定。你在 django 的 admin 的 change page 中看到的表单是由 admin 应用程序动态创建的,并且基于 UserChangeForm,但是这个类几乎没有在 username 字段中添加正则表达式验证。
并将其连接到我已经自定义的 UserAdmin 对象中......
自定义UserAdmin 是前往此处的方式。基本上,您想将fieldsets 属性更改为类似的内容:
class MyUserAdmin(UserAdmin):
fieldsets = (
(None, 'fields': ('username', 'password')),
(_('Personal info'), 'fields': ('first_name', 'last_name', 'email')),
# Removing the permission part
# (_('Permissions'), 'fields': ('is_staff', 'is_active', 'is_superuser', 'user_permissions')),
(_('Important dates'), 'fields': ('last_login', 'date_joined')),
# Keeping the group parts? Ok, but they shouldn't be able to define
# their own groups, up to you...
(_('Groups'), 'fields': ('groups',)),
)
但这里的问题是这个限制将适用于所有用户。如果这不是您想要的,您可以例如覆盖 change_view 以根据用户的权限采取不同的行为。代码sn-p:
class MyUserAdmin(UserAdmin):
staff_fieldsets = (
(None, 'fields': ('username', 'password')),
(_('Personal info'), 'fields': ('first_name', 'last_name', 'email')),
# No permissions
(_('Important dates'), 'fields': ('last_login', 'date_joined')),
(_('Groups'), 'fields': ('groups',)),
)
def change_view(self, request, *args, **kwargs):
# for non-superuser
if not request.user.is_superuser:
try:
self.fieldsets = self.staff_fieldsets
response = super(MyUserAdmin, self).change_view(request, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
return response
else:
return super(MyUserAdmin, self).change_view(request, *args, **kwargs)
【讨论】:
由于我使用群组来管理权限,我还从staff_fieldsets 中删除了群组部分。
谢谢!这对我帮助很大!但是,Django 1.1.2 似乎不喜欢您在个人信息和其他信息之前的“_”。
@Tyug :_ 是 ugettext / ugettext_lazy 的常用导入别名,正如您在 docs.djangoproject.com/en/1.1/topics/i18n/internationalization 上的代码示例中看到的那样:from django.utils.translation import ugettext as _
非超级用户仍然可以更改超级用户的密码并使用她的帐户登录。为了禁止这种情况,我还从staff_fieldsets 中删除了密码字段,围绕UserAdmin.user_change_password 编写了一个包装器,不允许为非超级用户更改超级用户的密码,最后在第一个字段集中添加了指向"password/" 的链接description.
隐藏字段是不够的。具有足够 Web 开发知识的用户将能够使用 wget 在适当的 url 处制作自己的 POST 请求。【参考方案2】:
接受的答案的以下部分有一个竞争条件,如果两个员工用户尝试同时访问管理表单,其中一个可能会获得超级用户表单。
try: self.readonly_fields = self.staff_self_readonly_fields response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs) finally: # Reset fieldsets to its original value self.fieldsets = UserAdmin.fieldsets
为了避免这种竞争条件(我认为提高解决方案的整体质量),我们可以直接覆盖 get_fieldsets() 和 get_readonly_fields() 方法:
class UserAdmin(BaseUserAdmin):
staff_fieldsets = (
(None, 'fields': ('username')),
('Personal info', 'fields': ('first_name', 'last_name', 'email')),
# No permissions
('Important dates', 'fields': ('last_login', 'date_joined')),
)
staff_readonly_fields = ('username', 'first_name', 'last_name', 'email', 'last_login', 'date_joined')
def get_fieldsets(self, request, obj=None):
if not request.user.is_superuser:
return self.staff_fieldsets
else:
return super(UserAdmin, self).get_fieldsets(request, obj)
def get_readonly_fields(self, request, obj=None):
if not request.user.is_superuser:
return self.staff_readonly_fields
else:
return super(UserAdmin, self).get_readonly_fields(request, obj)
【讨论】:
【参考方案3】:非常感谢克莱门特。当我为我的网站做同样的事情时,我想出的是,我还需要为除自己之外的用户设置所有字段只读。因此,根据 Clément 的回答,我在查看非自我时添加了只读字段和密码字段隐藏
class MyUserAdmin(UserAdmin):
model = User
staff_self_fieldsets = (
(None, 'fields': ('username', 'password')),
(_('Personal info'), 'fields': ('first_name', 'last_name', 'email')),
# No permissions
(_('Important dates'), 'fields': ('last_login', 'date_joined')),
)
staff_other_fieldsets = (
(None, 'fields': ('username', )),
(_('Personal info'), 'fields': ('first_name', 'last_name', 'email')),
# No permissions
(_('Important dates'), 'fields': ('last_login', 'date_joined')),
)
staff_self_readonly_fields = ('last_login', 'date_joined')
def change_view(self, request, object_id, form_url='', extra_context=None, *args, **kwargs):
# for non-superuser
if not request.user.is_superuser:
try:
if int(object_id) != request.user.id:
self.readonly_fields = User._meta.get_all_field_names()
self.fieldsets = self.staff_other_fieldsets
else:
self.readonly_fields = self.staff_self_readonly_fields
self.fieldsets = self.staff_self_fieldsets
response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
except:
logger.error('Admin change view error. Returned all readonly fields')
self.fieldsets = self.staff_other_fieldsets
self.readonly_fields = ('first_name', 'last_name', 'email', 'username', 'password', 'last_login', 'date_joined')
response = super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
finally:
# Reset fieldsets to its original value
self.fieldsets = UserAdmin.fieldsets
self.readonly_fields = UserAdmin.readonly_fields
return response
else:
return super(MyUserAdmin, self).change_view(request, object_id, form_url, extra_context, *args, **kwargs)
【讨论】:
【参考方案4】:这种方法是根据网络上的几个有用提示汇总而成的。在这种情况下,我们正在修改 UserAdmin,以便对于具有用户添加/更改权限的非超级用户员工,他们可以授予其他用户的唯一权限和组是该员工已经拥有的权限和组。
(对于 Django 1.11)
from django.contrib.auth.admin import UserAdmin, User
from django.contrib import admin
class RestrictedUserAdmin(UserAdmin):
model = User
def formfield_for_dbfield(self, db_field, **kwargs):
field = super(RestrictedUserAdmin, self).formfield_for_dbfield(db_field, **kwargs)
user = kwargs['request'].user
if not user.is_superuser:
if db_field.name == 'groups':
field.queryset = field.queryset.filter(id__in=[i.id for i in user.groups.all()])
if db_field.name == 'user_permissions':
field.queryset = field.queryset.filter(id__in=[i.id for i in user.user_permissions.all()])
if db_field.name == 'is_superuser':
field.widget.attrs['disabled'] = True
return field
admin.site.unregister(User)
admin.site.register(User, RestrictedUserAdmin)
如果用户被授予更改组的权限,则同样应为 GroupAdmin 执行此操作。
【讨论】:
【参考方案5】:django 1.1 的完整代码(仅限于员工(非超级用户)的基本用户信息)
from django.contrib.auth.models import User
from django.utils.translation import ugettext_lazy as _
class MyUserAdmin(UserAdmin):
my_fieldsets = (
(None, 'fields': ('username', 'password')),
(_('Personal info'), 'fields': ('first_name', 'last_name', 'email')),
)
def change_view(self, request, object_id, extra_context=None):
# for non-superuser
print 'test'
if not request.user.is_superuser:
self.fieldsets = self.my_fieldsets
response = UserAdmin.change_view(self, request, object_id,
extra_context=None)
return response
else:
return UserAdmin.change_view(self, request, object_id,
extra_context=None)
admin.site.unregister(User)
admin.site.register(User, MyUserAdmin)
【讨论】:
以上是关于授予“用户更改”权限时,如何防止 Django 管理员中的权限升级?的主要内容,如果未能解决你的问题,请参考以下文章