Ich brauche bestimmte Benutzer django.contrib.auth.models.User
Objekte zu bearbeiten.Ist es sicher, "auth | Benutzer | Kann Benutzer ändern" Berechtigungen ohne die "ist Personal" -Flag zu gewähren?
Mein erster Gedanke war, ihnen die auth | User | Can change user
Erlaubnis zu erteilen und sie als is staff
zu kennzeichnen, damit sie sich auf der Django Admin-Seite einloggen können. Das Problem ist jedoch, dass sie damit Super Admins machen können.
Da ich möchte, dass sie nur in der Lage sein, bestimmte Felder zu bearbeiten, habe ich eine sehr eingeschränkte Sicht dafür. Was ich tun muss, ist, dieser Gruppe von Benutzern die Berechtigung für diese Ansicht zu erteilen. Die einzige Lösung, ich fand, war zu noch ihnen die auth | User | Can change user
Erlaubnis erteilen (ohne sie zu machen staff
).
Meine Frage lautet:
Wenn ich den @permission_required
Dekorateur für diese Ansicht in Zusammenarbeit mit der Erlaubnis auth | User | Can change user
verwenden, ist es eine andere Möglichkeit für die Nutzer ihren Weg hacken sich die Super-Admin-Rolle gewähren (auch Angenommen, der Benutzer ist ein fortgeschrittener Django-Programmierer)? Ich spreche über Dinge wie e. G. API-Aufrufe, die mir nicht bekannt sind, oder ähnliches.
möchte ich hier aus dem Rahmen mögliche Fehler in meinem Code nehmen.