Odoo 16 多网站用户权限管理：实现精细化访问控制

Odoo 权限模型概述

Odoo 的权限管理系统是一个多层次的结构，主要由以下几个核心组件构成：

1. 用户 (Users)：系统中的实际操作者。
2. 用户组 (Groups)：权限的集合，用户通过加入用户组来获得相应的权限。
3. 访问权限 (Access Rights)：定义了用户组对特定模型（如产品、客户、网站页面等）的操作权限，包括读取 (Read)、写入 (Write)、创建 (Create)、删除 (Delete)。
4. 记录规则 (Record Rules)：在访问权限的基础上，进一步限制用户对模型中特定记录的访问。它通过定义一个域 (Domain) 来过滤记录，确保用户只能访问符合条件的记录。这是实现“编辑特定网站，查看其他网站”功能的核心。

多网站权限管理挑战

在 Odoo 中创建多个网站后，常见的需求是让不同的内容编辑或网站管理员负责各自的网站。例如，用户 A 只能编辑“网站 1”的内容，但可以查看“网站 2”的内容；而用户 B 只能编辑“网站 2”的内容，对“网站 1”则只能查看。直接通过访问权限难以实现这种精细到“特定记录”的控制，因此需要结合记录规则。

核心解决方案：自定义用户组与记录规则

实现这一目标的关键在于：

1. 创建针对特定网站的自定义用户组。
2. 为这些用户组配置模型访问权限。
3. 设置精细化的记录规则，限制用户只能对特定网站关联的记录进行写入、创建、删除操作。

以下是详细的配置步骤：

步骤一：启用开发者模式

在 Odoo 中进行高级配置前，请确保已启用开发者模式。可以通过在浏览器中访问 Odoo 页面，然后点击右上角的“调试”图标（虫子形状）或在 URL 中添加 ?debug=1 来启用。

步骤二：创建自定义用户组

为每个需要管理特定网站的用户创建一个或多个自定义用户组。

1. 导航到 设置 (Settings) -> 用户与公司 (Users & Companies) -> 用户组 (Groups)。
2. 点击 创建 (Create) 按钮。
3. 组名称 (Group Name)：输入一个清晰的名称，例如“网站 1 内容编辑者” (Website 1 Content Editor)。
4. 继承 (Inherited)：根据需要，可以继承现有的 Odoo 用户组，例如“网站 / 管理员”或“网站 / 设计师”，以继承其基础权限。如果需要从零开始定义权限，则可以不继承。
5. 在 用户 (Users) 选项卡下，将需要管理“网站 1”的用户添加到此组中。
6. 在 应用 (Applications) 选项卡下，确保为该组授予了访问“网站”模块的权限。

步骤三：配置模型访问权限

为新创建的用户组配置对相关网站内容模型的访问权限。

Cogram

使用AI帮你做会议笔记，跟踪行动项目

下载

1. 在用户组表单中，切换到 访问权限 (Access Rights) 选项卡。
2. 点击 添加一行 (Add a line)。
3. 模型 (Model)：选择与网站内容相关的模型。常见的模型包括：
   • ir.ui.view (用于网站页面、片段等)
   • blog.post (博客文章)
   • product.template (产品模板，如果网站销售产品)
   • website.menu (网站菜单项)
   • 其他任何带有 website_id 字段的模型。
4. 权限 (Permissions)：
   • 读取 (Read)：勾选此项，允许用户读取所有网站的相关内容。
   • 写入 (Write)、创建 (Create)、删除 (Delete)：不要勾选这些权限。这些操作的权限将通过记录规则来精细控制。

步骤四：创建记录规则

这是实现精细化控制的核心步骤。为每个自定义用户组创建记录规则，以限制其对特定网站内容的写入、创建和删除权限。

1. 导航到 设置 (Settings) -> 技术 (Technical) -> 安全 (Security) -> 记录规则 (Record Rules)。
2. 点击 创建 (Create) 按钮。
3. 规则名称 (Rule Name)：输入一个描述性名称，例如“允许网站 1 内容修改” (Allow Website 1 Content Modification)。
4. 对象 (Object)：选择与步骤三中相同的模型（例如 ir.ui.view）。
5. 应用到 (Apply to)：在 组 (Groups) 字段中，选择之前创建的自定义用户组（例如“网站 1 内容编辑者”）。
6. 域 (Domain)：这是关键。设置一个域来匹配该组被允许编辑的特定网站。
   • 首先，您需要获取目标网站的内部 ID。进入开发者模式，打开任何一个网站页面，点击调试图标，选择“查看字段”->“网站”，即可找到 website_id 的值（通常是一个数字）。
   • 域表达式示例：[('website_id', '=', ID_OF_WEBSITE_1)]。请将 ID_OF_WEBSITE_1 替换为实际的网站 ID。
7. 权限 (Permissions)：
   • 读取 (Read)：勾选。
   • 写入 (Write)：勾选。
   • 创建 (Create)：勾选。
   • 删除 (Delete)：勾选。

工作原理：

• 读取权限：由于在用户组的访问权限中已经授予了对模型（如 ir.ui.view）的读取权限，并且记录规则也允许读取特定网站的内容，因此用户可以读取所有网站的内容。
• 写入/创建/删除权限：在用户组的访问权限中，我们没有勾选写入、创建、删除权限。然而，此记录规则明确授予了对 website_id 等于 ID_OF_WEBSITE_1 的记录的这些操作权限。Odoo 的记录规则对于写入/创建/删除操作是“限制性”的——只有当所有适用的记录规则都允许时，操作才能执行。在这种情况下，对于 ID_OF_WEBSITE_1 的记录，此规则允许操作；对于其他网站的记录，此规则不适用（或不授予权限），因此用户无法执行写入/创建/删除操作，因为缺乏全局权限或适用的允许规则。

重复此步骤：为所有需要精细控制的模型（如 blog.post, product.template 等）重复创建相应的记录规则。

步骤五：测试权限

在完成配置后，务必使用一个属于新创建用户组的测试用户登录 Odoo，并验证权限是否按预期工作：

1. 尝试编辑属于“网站 1”的内容。
2. 尝试编辑属于“网站 2”的内容。
3. 尝试创建新的内容，并观察其是否能关联到特定的网站。

注意事项与总结

• Website ID 的获取：确保准确获取每个网站的内部 ID。在开发者模式下，可以通过查看相关记录的字段信息来获取。
• 模型选择：理解“网站内容”涉及多个 Odoo 模型。您需要根据实际业务需求，为所有相关模型配置记录规则。例如，如果您希望用户只能编辑特定网站的博客，则需要为 blog.post 模型设置记录规则。
• 权限叠加与优先级：Odoo 的权限系统是一个复杂但强大的机制。理解访问权限（模型级别）和记录规则（记录级别）如何共同作用至关重要。对于读取权限，只要有一个规则允许，即可读取；对于写入、创建、删除，则必须所有适用的规则都允许，才能执行。
• 菜单可见性：虽然记录规则控制数据访问，但您可能还需要通过调整菜单项的“组”设置，来隐藏不相关或不属于用户权限范围的菜单，以优化用户体验。
• 持续测试：在生产环境中应用任何权限更改之前，务必在测试环境中进行充分的测试，以避免意外的访问问题。

通过上述步骤，您可以有效地在 Odoo 16 中实现多网站环境下的精细化用户权限管理，确保不同团队或个人能够安全、高效地管理各自负责的网站内容。