odoo的权限管理总结，经验之谈，欢迎指正。

模型权限设置

在一个模块中新建了一个模型都必须对此模型进行权限配置，因为默认模型是没有任何权限设置的，开发的时候使用admin账号可以看到但正常账户是无法看见模型的。所以这是最基本的权限配置，哪怕你的模块没有特殊权限对所有人都开放也必须进行配置。

• 对模型的权限设置一般是在security/ir.model.access.csv文件中进行配置。格式如下

# 第一行是表头，表示分别需要填入的值 即 id,name,模型，用户组，最后四个为读，写，创建，删除权限
id,name,model_id:id,group_id:id,perm_read,perm_write,perm_create,perm_unlink

id是系统用来识别每一个模型权限设置的唯一识别，所以必须是一个唯一值，name是个人用于识别模型权限的识别字段，也要唯一。其实这两个字段只要保持唯一性即可按照个人习惯进行命名。当然官方也提供了一个推荐命名规则：

• id: access_模型名_特定用户组名
• name：模型名.用户组名
  第三个字段是指定模型就必须按照规则写了
• model: model_模型名
  第四个字段用户组，一般为空代表对所有用户组执行。
  后四个权限字段 1表示有权限 0表示没有权限
  所以一条权限定义:
  access_my_model,my_model,model_my_model,,1,1,1,0
  解读为所有用户拥有对模型my_model的读，写，创建权限但是没有删除权限。
  对一个模块可以设置多个权限明细，比如新增一条权限定义
  access_my_model_system,my_model.system,model_my_model,base.group_system,1,1,1,1
  解读为在base.group_system用户组里的用户拥有对模型my_model的读，写，创建权限但是没有删除权限。

用户组设置

在上面我们说到了用户组的概念，其实这就是字面分组的意思，在不同的组的人可以有不同的权限，当然一个用户可以拥有多个用户组。

• 用户组定义一般是在security/security.xml中
  一个用户组的定义如下：

# 首先定义一个用户组的类别 同一个类别中有不同的用户组但是用户只能选择其中一个
<record id="module_mrp" model="ir.module.category">
  <field name="name">制造</field>
  <field name="sequence">27</field>
   <field name="comment">制造权限类别</field>
</record>

# 定义一个员工组
<record id="mrp_group_user" model="res.groups">
  <field name="name">用户</field>
  <field name="comment">制造普通用户</field>
  # 属于哪一个用户组类别，填入上面点定义用户组类别的id
  <field name="category_id" ref="module_mrp"/>
  # 继承用户 ，继承使base.group_user里的用户都属于整个用户组
  <field name="implied_ids" eval="[(4, ref('base.group_user'))]"/>
</record>

# 定义一个经理组
<record id="mrp_group_manager" model="res.groups">
  <field name="name">经理</field>
  <field name="comment">制造管理员</field>
  <field name="category_id" ref="module_mrp"/>
  <field name="implied_ids" eval="[(4, ref('mrp_group_user'))]"/>
  # 默认用户 ，设置base.user_root用户组里的用户也是该用户组用户
  <field name="users" eval="[(4, ref('base.user_root'))]"/>
</record>

其实无论使用implied_ids还是users都是为了给新建的用户组填入默人用户，但这并不是一定要设置的。

基于用户组的权限控制

建立用户组后我们可以进行按组对字段进行权限控制

• 在模型的xml视图中

# 在网页展示的视图中，只有mrp_group_manager的用户才能看到name字段
<field name="name" groups="mrp.mrp_group_manager"/>

注意调用其他模块的用户组一定要加上模块名.

• 在python代码中

# name字段只有mrp_group_user，mrp_group_manager用户则才能看见，但只有mrp_group_manager用户能进行编辑
name = fields.Char(string=u'名字',read=['mrp_group_user','mrp_group_manager'],\
        write=['mrp_group_manager'])

记录管理规则

以上两个都是针对整个模型而言设置的权限，接下来就是针对模型中不同的记录进行权限设置，比如员工只能看见自己创建的订单而看不了别人的。

<record model="ir.rule" id="mrp_user_rule">
  <field name="name">查看自己的订单</field>
  # model_id 作用于哪个模型 值为 model_模型名
  <field name="model_id" ref="model_mrp"/>
  # 设置domain 创建者为当前用户
  <field name="domain_force">[('create_uid','=',user.id)]</field>
  # 该规则使用于哪个用户组mrp
  <field name="groups" eval="[(4, ref('mrp.mrp_group_user'))]"/>
  # 还可以详细配置对记录的读写创建删除权限
  <field name="perm_read" eval="1" />
  <field name="perm_write" eval="1" />
  <field name="perm_create" eval="1" />
  <field name="perm_unlink" eval="0" />
</record>

总结

从对模型权限设置，到基于用户组可以对每个字段进行的权限控制，再加上利用设置权限规则可以对记录进行权限。odoo的权限管理还是十分完善的，合理的配合使用基本上是可以完成任何复杂的权限设置的。