46 | Django之美：20行代码实现只读站点ReadOnlyAdmin-Django快速开发实战

当前位置:　首页>> 技术小册>> Django快速开发实战

### 46 | Django之美：20行代码实现只读站点ReadOnlyAdmin

在Django框架的广阔天地中，开发者们常常需要构建各式各样的Web应用，从简单的博客系统到复杂的企业级解决方案。在这些应用中，有时出于安全考虑或业务需求，我们可能需要创建一个只读站点，即允许用户浏览数据但不允许修改。虽然Django的Admin界面提供了强大的后台管理功能，但直接支持创建只读视图的原生方式并不明显。幸运的是，通过一些巧妙的技巧和自定义，我们可以在不牺牲太多代码量的情况下，实现一个功能完备的`ReadOnlyAdmin`。

#### 引入场景

设想你正在为一家大型企业开发一个内部管理系统，该系统需要向不同部门的员工展示公司的运营数据。然而，出于数据一致性和安全性的考虑，大多数员工只需查看这些数据而无需修改。此时，创建一个只读的Admin站点就显得尤为重要。

#### Django Admin基础

在开始之前，让我们快速回顾一下Django Admin的基础知识。Django Admin是一个强大的后台管理工具，允许开发者通过简单的注册模型（Model）到Admin站点，就能自动生成数据管理的CRUD（创建、读取、更新、删除）界面。但默认情况下，这些界面都是可编辑的。

#### 实现ReadOnlyAdmin

要实现一个`ReadOnlyAdmin`，我们需要做的是覆盖Admin的某些行为，特别是那些与数据修改相关的部分。具体而言，我们需要重写`ModelAdmin`类的几个方法，以确保所有通过Admin界面进行的修改操作都被阻止。

##### 步骤一：创建自定义ModelAdmin类

首先，我们需要创建一个继承自`admin.ModelAdmin`的自定义类，并在其中重写关键方法。

```python
from django.contrib import admin
from django.http import Http404
from django.shortcuts import redirect

class ReadOnlyModelAdmin(admin.ModelAdmin):
    def has_add_permission(self, request, obj=None):
        """ 禁止添加新记录 """
        return False

def has_change_permission(self, request, obj=None):
        """ 禁止修改现有记录 """
        return False

def has_delete_permission(self, request, obj=None):
        """ 禁止删除记录 """
        return False

def save_model(self, request, obj, form, change):
        """ 重写save_model方法，使其抛出异常，阻止修改 """
        raise Http404("This is a read-only admin site.")

def save_formset(self, request, form, formset, change):
        """ 阻止通过Inline表单集进行的修改 """
        raise Http404("This is a read-only admin site.")

def changelist_view(self, request, extra_context=None):
        """ 可以添加额外的上下文或调整视图 """
        # 这里可以添加额外的逻辑，比如隐藏某些按钮
        extra_context = extra_context or {}
        extra_context['readonly'] = True
        return super().changelist_view(request, extra_context=extra_context)
```

##### 步骤二：将模型注册到ReadOnlyAdmin

接下来，在你的`admin.py`文件中，使用上面定义的`ReadOnlyModelAdmin`类来注册你的模型。

```python
from django.contrib import admin
from .models import MyModel  # 假设你有一个MyModel模型

admin.site.register(MyModel, ReadOnlyModelAdmin)
```

##### 步骤三：可选：调整Admin模板以更好地反映只读状态

虽然上面的步骤已经足够让Admin站点变为只读，但你可能还想通过修改Admin模板来进一步增强用户体验，比如隐藏或禁用“添加”、“编辑”和“删除”按钮。这可以通过覆盖Django Admin的模板文件来实现，但需要注意的是，这涉及到对Django Admin内部工作方式的深入理解，并且可能随着Django版本的更新而需要调整。

一个简单的方法是，在你的Django项目中创建一个与Django Admin模板同名的模板文件，并放置在你的项目或应用的`templates/admin/`目录下。Django会优先使用你的自定义模板文件。

#### 安全性与性能考虑

虽然`ReadOnlyAdmin`在功能上满足了只读的需求，但在安全性和性能上仍需注意以下几点：

- **权限控制**：确保只有授权用户才能访问只读Admin站点。
- **性能优化**：对于包含大量数据的模型，考虑使用分页、搜索和过滤功能来优化性能。
- **审计日志**：如果需要，可以记录对只读视图的访问，以便进行审计或监控。

#### 总结

通过不到20行代码，我们成功地在Django中创建了一个功能完备的只读Admin站点。这不仅展示了Django框架的灵活性和可扩展性，还体现了其在快速开发方面的优势。在实际开发中，根据具体需求调整和优化`ReadOnlyModelAdmin`类，可以进一步提升用户体验和系统安全性。

此外，值得注意的是，虽然这种方法通过阻止用户界面上的操作来实现了只读功能，但在某些情况下，你可能还需要在数据库层面或模型层面进一步加固安全措施，以确保数据的绝对安全。例如，通过数据库视图或Django的`Manager`类来限制对数据的直接访问。

该分类下的相关小册推荐：

Django零基础入门

Django框架入门指南