1. 理解Odoo的访问控制机制
odoo的访问控制系统基于以下核心组件:
- 用户 (Users): 系统中的个体账号。
- 用户组 (Groups): 一组用户的集合,权限通常赋予给组,而非单个用户。
- 访问权限 (Access Rights): 定义用户组对特定数据模型(如页面、博客文章、产品等)的读、写、创建、删除操作权限。
- 记录规则 (Record Rules): 更细粒度的控制,通过定义条件(Domain)来限制用户组可以访问或操作的特定记录(行数据)。这是实现多网站权限分离的关键。
在多网站场景下,Odoo的许多网站相关模型(如website.page、blog.post、product.template等)都包含一个website_id字段,用于标识该记录属于哪个网站。利用这一点,我们可以通过记录规则来区分不同网站内容的访问权限。
2. 配置步骤
要实现用户对特定网站的编辑权限和对其他网站的查看权限,需要结合使用用户组和记录规则。以下是具体操作步骤:
2.1 启用开发者模式
在进行高级配置之前,请确保Odoo已启用开发者模式。在Odoo界面右上方,点击用户头像 -> "关于Odoo" -> "启用开发者模式"。
2.2 创建自定义用户组
为每个需要特殊权限的网站创建一个或多个专属用户组。例如,如果用户A只能编辑“网站A”,则可以创建一个名为“网站A编辑者”的用户组。
- 导航至:设置 (Settings) -> 用户与公司 (Users & Companies) -> 用户组 (Groups)。
- 点击 创建 (Create)。
- 填写 组名 (Group Name),例如“网站A编辑者”。
- 在 继承 (Inherited) 标签页下,可以考虑继承Odoo内置的网站相关用户组,例如 Website / Designer 或 Website / Administrator,这将赋予该组基本的网站设计或管理权限。同时,为了确保能查看其他网站,可以继承 Website / User 组。
2.3 配置模型访问权限
确保新创建的用户组拥有对相关网站内容模型的基本读、写、创建、删除权限。通常,通过继承 Website / Designer 等组已经涵盖了大部分模型权限。如果需要更精细的控制,可以手动调整:
- 导航至:设置 (Settings) -> 技术 (Technical) -> 安全 (Security) -> 访问权限 (Access Rights)。
- 筛选出与网站相关的模型(如 website.page、blog.post、product.template、ir.ui.view 等)。
- 检查并确保“网站A编辑者”组对这些模型具有适当的读、写、创建、删除权限。通常,如果继承了高级网站组,这一步无需过多修改。
2.4 创建记录规则
记录规则是实现精细化权限控制的核心。我们需要为每个网站编辑组创建规则,以限制其只能编辑特定网站的内容,并对其他网站内容只读。
场景示例: 假设“网站A”的ID为101,“网站B”的ID为102。用户A属于“网站A编辑者”组,目标是用户A可以编辑网站A的内容,但只能查看网站B的内容。
套采用php+mysql的多用户网上商城系统,安全、负载量高,访问迅捷,能与论坛、博客、CMS等系统整合并支持一站登陆。功能包括用户管理、商品管理、订单管理、销售统计、广告/公告管理、附件管理等,这些管理权限与用户等级挂钩。内置多套模板,支持界面个性化设计和人性化的采购方式。系统内置贝宝、支付宝、快钱在线等支付网关以及QQ、旺旺、雅虎通即时网络通讯工具。
- 导航至:设置 (Settings) -> 技术 (Technical) -> 安全 (Security) -> 记录规则 (Record Rules)。
- 点击 创建 (Create)。
规则1:允许“网站A编辑者”编辑“网站A”内容
- 规则名称 (Rule Name): 网站A编辑者:网站A内容编辑权限
- 对象 (Model): website.page (需要为所有相关网站内容模型创建类似规则,如 blog.post, product.template, ir.ui.view 等)
- 适用组 (Groups): 选择 网站A编辑者
-
域 (Domain): ['|', ('website_id', '=', False), ('website_id', '=', 101)]
- ('website_id', '=', False): 允许访问不特定于任何网站的全局内容。
- ('website_id', '=', 101): 允许访问属于网站A的内容。
- 权限 (Permissions): 勾选 读取 (Read)、写入 (Write)、创建 (Create)、删除 (Delete)。
规则2:限制“网站A编辑者”对“其他网站”内容只能查看
- 规则名称 (Rule Name): 网站A编辑者:其他网站内容只读
- 对象 (Model): website.page (同样,需要为所有相关网站内容模型创建)
- 适用组 (Groups): 选择 网站A编辑者
-
域 (Domain): [('website_id', '!=', 101)]
- ('website_id', '!=', 101): 针对所有不属于网站A的内容。
- 权限 (Permissions): 仅勾选 读取 (Read)。
重要提示:
- 规则优先级: 如果存在多条规则,Odoo会合并这些规则的权限。通常,限制性更强的规则会覆盖宽松的规则。确保你的规则逻辑能够正确地实现“编辑特定,查看其他”的目标。
- 遍历模型: 你需要为所有涉及网站内容创建和编辑的关键模型(例如 website.page、blog.post、product.template、ir.ui.view、ir.ui.menu 等)重复上述记录规则的创建过程。这可能需要一些耐心和对Odoo数据模型的理解。
2.5 将用户分配到组
最后一步是将相应的用户分配到你创建的自定义用户组中。
- 导航至:设置 (Settings) -> 用户与公司 (Users & Companies) -> 用户 (Users)。
- 选择要配置的用户(例如用户A)。
- 在用户表单中,找到 访问权限 (Access Rights) 标签页。
- 在 用户组 (Groups) 区域,勾选 网站A编辑者 组。
3. 测试与验证
完成上述配置后,务必以受限用户的身份登录Odoo,并进行彻底的测试,以确保权限设置符合预期:
- 以用户A身份登录Odoo。
- 切换到“网站A”,尝试创建、编辑、删除页面、博客文章、产品等内容,验证编辑权限是否正常。
- 切换到“网站B”,尝试对网站B的页面、博客文章等进行编辑或删除操作,验证是否只能查看而无法修改。
- 检查用户是否能正常浏览其他网站的内容。
4. 注意事项与总结
- 网站ID获取: 网站的ID可以在开发者模式下,通过访问网站配置(网站 (Website) -> 配置 (Configuration) -> 网站 (Websites)),点击具体网站记录后,在URL中找到id=后面的数字,或者通过Odoo Shell查询。
- 复杂性: 如果有大量网站和复杂的用户权限需求,手动创建和管理记录规则可能会变得复杂。在这种情况下,可以考虑开发一个小型自定义模块来自动化规则的创建和管理,或者通过自定义字段将用户/组与特定网站关联起来,从而简化记录规则的域表达式。
- 默认权限: Odoo的默认用户组(如Website / User, Website / Designer, Website / Administrator)本身带有一定的权限。在创建自定义组时,理解这些默认权限的继承关系非常重要,避免权限冲突或过度授权。
- 安全审计: 定期审查用户组、访问权限和记录规则,确保它们仍然符合业务需求和安全策略。
通过以上步骤,你可以有效地在Odoo 16中实现对多网站用户访问权限的精细化控制,确保不同用户只能在被授权的特定网站上进行编辑操作,从而提高系统的安全性和管理效率。
