Forum

Benvenuto!

Questo è il forum ufficiale dell'Associazione Odoo Italia. Dopo esserti registrato potrai partecipare ponendo domande o rispondendo a quelle esistenti. 
Non scordarti di compilare il tuo profilo e consultare le linee guida prima di iniziare a scrivere.

Nascondi benvenuto                             Accedi                                                  Registrati
Indietro
0

[ODOO 12] Come rendere invisibile gli url agli utenti

Avatar
Davide Ercole
12.0

Salve a tutti, Vi scrivo perché mi sono accorto che Odoo permette di non far visualizzare alcuni menu o viste a particolari gruppi (si imposta l'attributo "groups='nomegruppo'" sulla vista, campo o azione). Tuttavia, se voi conosceste l'url esatto, potete accedere comunque alla vista che avete nascosto per quel particolare gruppo. Per migliorare quindi la sicurezza di Odoo ed evitare che alcuni gruppi accedano ad una vista a cui non erano autorizzati, mi sono accorto che in rete esiste questa app:

https://apps.odoo.com/apps/modules/12.0/url_access_restriction/

Dalla descrizione sembra molto utile, ma quando la installo non funziona.
Non capisco dal codice dove sia il problema, spero che qualcuno possa indagare.
Grazie mille.
Davide 

Avatar
Abbandona
1 risposta
0
Avatar
Luigi Di Naro
Migliore risposta

La domanda rispecchia la confusione che odoo ha creato e crea mischiando a membro di segugio UI e dato. Nascondere un menu, una vista, un elemento di UI ha il solo scopo di rendere piu' fruibile la UI, meno incasinata e sporca. Immagina se tutti i menu' a cui non hai accesso fossero disponibili ed ad ogni click ti uscisse un errore perche' non hai accesso al dato. Sarebbe un dramma di usabilita'.

Nascondere la UI non basta, non deve bastare a proteggere il dato ... per proteggere il dato esistono le ACL su modelli ed istanze di modello ... il modello implementato da odoo è sufficientemente generico e flessibile per modellare quasi ogni cosa.

Se gli oggetti, modelli, son protetti da corrette ACL conoscere la URL non ti servirebbe a niente visto che non potresti accedere al dato ed otterresti l'errore durante il render della UI. Se il modello non è correttamente profilato e protetto il problema è nella implementazione del modulo ed andrebbe scartato o corretto.

Ragion per la quale reputo inutile il modulo che hai linkato indipendentemente dal fatto che funzioni o meno.

commento Condividi
Avatar
Abbandona
0
Avatar
Davide Ercole
Migliore risposta

Grazie mille per la risposta, vedo di modellare il tutto usando le ACL

commento Condividi
Avatar
Abbandona