Odoo权限管理

在Odoo中，使用用户组(res.groups)来管理权限，一个特殊的用户组是 员工/员工(base.group_user) 组，全部的用户都属于这个组，这个组里包含一些基本的权限。
四种权限级别（粒度愈来愈细）：
1．菜单/对象级别
设置哪些人能够访问哪些菜单/对象，对象的访问权限包括建立、读、写、删除。
2．记录级别
设置哪些人能够访问哪些记录，也就是设置表的查询条件。
3．字段级别
设置表中的字段的访问权限。
4．工做流级别（不多用到）
在工做流的每一步迁移中，设置哪些角色容许触发本迁移

下面示例使用的是account模块中的代码，因此你们有什么问题能够去odoo源码查询。
关于权限的文件通常在security文件夹中，
xxx_security.xml文件定义用户组和用户组对菜单的访问权限
ir.model.access.csv定义用户组对对象的权限矩阵

菜单/对象级别

用户组

首先建立一个组分类（表示不少组属于一个分类）：

<record id="base.module_category_accounting_and_finance" model="ir.module.category">
    <field name="name">module_category_accounting_and_finance</field>
    <field name="sequence">57</field>
</record>

再建立一个用户组：

<record id="group_account_invoice" model="res.groups">
    <!-- 组的名字，如：员工 -->
    <field name="name">Billing</field>
    <!-- 此组属于的组分类 -->
    <field name="category_id" ref="base.module_category_accounting_and_finance"/>
    <!-- 继承的组，也就是说这个组也拥有这些继承组的权限 -->
    <field name="implied_ids" eval="[(4, ref('base.group_user'))]"/>
</record>

修改这个组的一些内容，如：给这组加上一个用户：

<record id="group_account_invoice" model="res.groups">
    <!-- 给这个组添加admin用户 -->
    <field name="users" eval="[(4, ref('base.user_root'))]"/>
</record>

下面说一下eval语法：

(0, 0, {values}) 根据values的值新建一条记录
(1, ID, {values}) 更新id=ID的记录，（写入values的值）
(2, ID) 删除id=ID这条记录，（调用unlink方法，删除数据及整个主从数据连接关系）
(3, ID) 切断主从数据的连接关系可是不删除这个记录
(4, ID) 为id=ID的数据添加主从连接关系
(5) 删除全部的从数据的连接关系，也就是向全部的从数据调用(3, ID)
(6, 0, [IDs]}) 用IDs中的记录替换原来的记录（至关于先执行(5)在循环执行(4, ID)）

用户组对model的权限控制（也就是对象的访问权限）

模块下 security 目录下的文件：ir.model.access.csv

id,name,model_id:id,group_id:id,perm_read,perm_write,perm_create,perm_unlink
access_product_product_account_user,product.product.account.user,product.model_product_product,group_account_user,1,0,0,0
access_product_product_account_manager,product.product.account.manager,product.model_product_product,group_account_manager,1,1,1,1
access_product_template_account_manager,product.template.account.manager,product.model_product_template,group_account_manager,1,1,1,1
access_product_price_history_account_manager,prices.history.account.manager,product.model_product_price_history,group_account_manager,1,1,1,1
access_account_payment_term,account.payment.term,model_account_payment_term,account.group_account_`user,1,0,0,0

id：能够随便取，可是在一个模块中是惟一的，通常取名为 access_模型名_特定用户组名（用下划线连起来）
name： 能够随便取，通常命名沿用模型名用“.”链接加 用户组名
model:id： 要作权限控制的model，格式写法是 模块名.model_模块名(中间的‘.’换成‘_’)，若是model在此模块中，能够省略模块名，如product.model_product_product
group:id：组的id，不是本模块的组，要在前面加上模块名，如：account.group_account_user
perm_read,perm_write,perm_create,perm_unlink：这些就是具体的权限：读写增删，1 有权限，0 无权限

菜单的权限控制

第一种写法（全部的记录，均可以用这种方法添加及修改，若是id是同样的话就是修改这条记录，若是没有这个id就是添加该记录）

<record id="menu_finance" model="ir.ui.menu">
    <field name="name">Invoicing</field>
    <field name="web_icon">account,static/description/icon.png</field>
    <field name="sequence">40</field>
    <field name="groups_id" eval="[(6, 0, [ref('account.group_account_user'), ref('account.group_account_manager'), ref('account.group_account_invoice')])]"/>
</record>

第二种写法（简洁写法）

<menuitem name="Invoicing"
    id="menu_finance"
    groups="group_account_user,group_account_manager,group_account_invoice"
    web_icon="account,static/description/icon.png"
    sequence="40"/>

上面的2个xml表示menu_finance这个菜单只能被group_account_user，group_account_manager，group_account_invoice 三个用户组访问
若是有上级菜单，加parent属性，若是上级菜单不在本模块中，须要加模块名如：account.menu_finance：

<menuitem id="menu_finance_reports" name="Reports" parent="menu_finance" sequence="5" groups="group_account_invoice"/>

记录级别的权限控制

记录的权限放在"ir.rule"model中，全部咱们添加或修改ir_rule表中的记录，就能够控制记录的权限

<record id="account_move_comp_rule" model="ir.rule">
    <!-- 规则名称 -->
    <field name="name">Account Entry</field>
    <!-- 对应模型 -->
    <field name="model_id" ref="model_account_move"/>
    <!-- 是否全局 -->
    <field name="global" eval="True"/>
    <!-- 过滤条件 其中user表示当前登陆用户对象 -->
    <field name="domain_force">['|',('company_id','=',False),('company_id','child_of',[user.company_id.id])]</field>
    <!-- 读写增删权限（针对过滤后的记录） -->
    <field name="perm_read" eval="True"/>
    <field name="perm_write" eval="False"/>
    <field name="perm_create" eval="False"/>
    <field name="perm_unlink" eval="False"/>
</record>

domain_force（也就是domain表达式的写法）写法请看个人另外一篇博客domain的写法及运用。

字段级别的权限控制

给字段上添加用户组，表示只有这些组的用户在这个视图中才能访问和操做这个字段，如：

<record id="view_invoice_line_tree" model="ir.ui.view">
    <field name="name">account.invoice.line.tree</field>
    <field name="model">account.invoice.line</field>
    <field name="arch" type="xml">
        <tree string="Invoice Line">
            <field name="name"/>
            <field name="account_id" groups="account.group_account_user"/>
            <field name="quantity"/>
            <field name="uom_id" groups="product.group_uom,account.group_account_user"/>
            <field name="price_unit"/>
            <field name="discount" groups="base.group_no_one"/>
            <field name="price_subtotal"/>
            <field name="currency_id" invisible="1"/>
        </tree>
    </field>
</record>

上面xml表示在这个tree视图(这里注意，这个权限只针对这个tree视图)上，account_id，uom_id，discount这3个字段只有对应的用户组中的用户才能看到。
若是你想在这个model的全部视图中都有这个权限控制的话，要在这个字段定义的时候，就要指定groups，多个用户组用","分隔，如：

gengo_private_key = fields.Text(string="Gengo Private Key", copy=False, groups="base.group_system,base.group_user")

权限控制到这里就结束了，若是有什么错误的地方，欢迎你们指出。