Navigation

    Odoo 中文社区
    • Register
    • Login
    • Search
    • Categories
    • Tags
    • Popular
    • Users
    • Groups

    Odoo中文社区可以通过以下两个域名访问:shine-it.net , odoo.net.cn

    由于系统升迁的原因,本论坛部分较早期的内容存在格式和链接损坏失效的问题,并非本论坛系统本身的缺陷,望谅解

    本社区没有维护任何QQ群讨论组,任何与本社区同名的QQ群讨论组的言论与本社区无关!

    开发人员可以登录gitter讨论组: http://gitter.im/odoo-china/Talk, 需要github账号

    如果您登录系统碰到问题,请在微信公众号留言:

    控制window action的访问权限?

    Odoo 开发与实施交流
    3
    4
    3214
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      iooop last edited by

      请问如何控制window action的安全性?
      现在只要用户在地址栏输入action记录的id值,就可以看到对应的视图了。
      虽然用户可能没有权限创建或修改记录,但是看到某些窗口信息总归不好。
      比如Sales/Setting的window action记录的id为283.普通用户在地址栏修改action参数的值为283就能看到所有的设置的值。官方可以指定window action的组,但是仅仅用来控制是否在界面上显示。

      1 Reply Last reply Reply Quote 0
      • jeffery
        jeffery last edited by

        window action 属于 框架,必须对 public 开放 read 权限, 否则 所有的弹窗均不能 正常工作。

        所以 ir.* 开头的模型,都必须对 public 开放 read 权限; 例如

        0_1488262992271_upload-058f5ea1-c8dc-42d3-9909-cdc35cfa0b4a

        1 Reply Last reply Reply Quote 0
        • I
          iooop last edited by iooop

          谢谢jeffery回复。可能odoo本身就是这么设计的,个人觉得这种权限的策略设计太过宽松了。普通用户在地址栏敲个window action的id就可以看到管理员的配置页面及配置的内容,实在是很难让我接受。

          萧 1 Reply Last reply Reply Quote 0
          • 萧
            萧云飞 @iooop last edited by

            @iooop 你也可以将地址栏加密,这样他们就不晓得具体的参数,可以变相的解决这个问题

            1 Reply Last reply Reply Quote 0
            • First post
              Last post