Как сделать все поля в Django Admin доступными только для чтения?

Что такое Django Admin и зачем он нужен?

Django Admin — это мощный инструмент, встроенный во фреймворк Django, предоставляющий готовый интерфейс для управления данными вашего приложения. Он автоматически генерирует CRUD-интерфейсы на основе моделей Django, что значительно ускоряет разработку и позволяет администраторам сайта или контент-менеджерам легко управлять содержимым без необходимости написания специализированного кода.

Сценарии использования полей только для чтения в Django Admin

Необходимость сделать поля в админ-панели доступными только для чтения возникает в различных ситуациях:

• Отображение системных данных: Поля, которые вычисляются автоматически или устанавливаются системой (например, created_at, updated_at, вычисляемые метрики).
• Предотвращение случайных изменений: Защита критически важных данных от непреднамеренного редактирования.
• Разграничение прав доступа: Отображение полной информации пользователю, но ограничение его возможности редактировать определенные поля.
• Архивные записи: Отображение данных из архивных моделей, которые не должны изменяться.
• Демонстрационные цели: Представление данных в режиме «только просмотр».

Обзор методов реализации полей только для чтения

Django предоставляет несколько механизмов для управления доступностью полей в админ-панели:

1. Атрибут readonly_fields: Самый простой способ статически определить список полей, которые должны быть доступны только для чтения.
2. Метод get_readonly_fields: Позволяет динамически определять список полей только для чтения на основе запроса (request) или объекта (obj).
3. Метод get_fields: Позволяет полностью контролировать набор отображаемых полей, включая возможность неявно сделать их только для чтения, исключив из редактируемого списка.
4. Создание пользовательских Mixin: Инкапсуляция логики «только для чтения» в переиспользуемый класс.

Реализация полей только для чтения с помощью readonly_fields

Использование атрибута readonly_fields в ModelAdmin

Наиболее прямой способ сделать поля доступными только для чтения — указать их имена в виде кортежа или списка в атрибуте readonly_fields вашего класса ModelAdmin.

# models.py
from django.db import models

class WebAnalyticsReport(models.Model):
    report_id = models.AutoField(primary_key=True)
    url = models.URLField("URL страницы")
    visits = models.PositiveIntegerField("Количество визитов")
    unique_visitors = models.PositiveIntegerField("Уникальные посетители")
    bounce_rate = models.DecimalField("Показатель отказов", max_digits=5, decimal_places=2)
    created_at = models.DateTimeField("Дата создания", auto_now_add=True)
    calculated_at = models.DateTimeField("Дата расчета")

# admin.py
from django.contrib import admin
from .models import WebAnalyticsReport

@admin.register(WebAnalyticsReport)
class WebAnalyticsReportAdmin(admin.ModelAdmin):
    list_display: tuple[str, ...] = ('url', 'visits', 'unique_visitors', 'bounce_rate', 'created_at', 'calculated_at')
    # Определяем поля, доступные только для чтения
    readonly_fields: tuple[str, ...] = ('report_id', 'created_at', 'calculated_at', 'visits', 'unique_visitors', 'bounce_rate')
    search_fields: tuple[str, ...] = ('url',)

В этом примере поля report_id, created_at, calculated_at, а также метрики visits, unique_visitors и bounce_rate будут отображаться в форме редактирования, но их нельзя будет изменить.

Примеры readonly_fields для различных типов полей

readonly_fields работает с большинством типов полей, включая:

• Стандартные поля: CharField, IntegerField, DateTimeField, BooleanField и т.д.
• Связанные поля: ForeignKey, OneToOneField. Отображается ссылка на связанный объект.
• Поля ManyToManyField: Отображается список связанных объектов.
• Свойства модели или методы ModelAdmin: Можно указать имя метода или свойства, чтобы отобразить вычисленное значение.

# admin.py
from django.contrib import admin
from django.utils.html import format_html
from .models import WebAnalyticsReport

@admin.register(WebAnalyticsReport)
class WebAnalyticsReportAdmin(admin.ModelAdmin):
    list_display = ('url', 'visits', 'unique_visitors', 'bounce_rate', 'created_at')

    # Добавляем вычисляемое поле и связанное поле
    readonly_fields = (
        'report_id', 
        'created_at', 
        'calculated_at', 
        'visits', 
        'unique_visitors', 
        'bounce_rate', 
        'display_report_link' # Метод этого класса
    )
    search_fields = ('url',)

    def display_report_link(self, obj: WebAnalyticsReport) -> str:
        """Отображает кастомную ссылку на отчет."""
        # Пример: генерация ссылки на внешний сервис аналитики
        if obj.url:
            return format_html('<a href="https://analytics.example.com/?url={}" target="_blank">Открыть отчет</a>', obj.url)
        return "-"
    display_report_link.short_description = "Внешний отчет"

Ограничения и альтернативные подходы

Основное ограничение readonly_fields — его статичность. Список полей определяется при загрузке класса ModelAdmin и не может изменяться в зависимости от контекста (например, прав пользователя или состояния объекта).

Если требуется динамическое управление, следует использовать методы get_readonly_fields или get_fields.

Переопределение методов get_readonly_fields и get_fields

Как get_readonly_fields позволяет динамически устанавливать поля только для чтения

Метод get_readonly_fields принимает request (текущий HTTP-запрос) и obj (редактируемый объект модели, None при создании новой записи) в качестве аргументов. Это позволяет реализовать логику, зависящую от этих параметров.

# admin.py
from django.contrib import admin
from django.http import HttpRequest
from typing import Optional, Tuple
from .models import WebAnalyticsReport

@admin.register(WebAnalyticsReport)
class WebAnalyticsReportAdmin(admin.ModelAdmin):
    list_display: tuple[str, ...] = ('url', 'visits', 'unique_visitors', 'bounce_rate', 'created_at')
    search_fields: tuple[str, ...] = ('url',)

    def get_readonly_fields(self, request: HttpRequest, obj: Optional[WebAnalyticsReport] = None) -> Tuple[str, ...]:
        """Динамически определяет поля только для чтения."""
        base_readonly: list[str] = ['report_id', 'created_at', 'calculated_at']

        # Если объект уже существует (редактирование)
        if obj:
            # Добавляем метрики в readonly
            base_readonly.extend(['visits', 'unique_visitors', 'bounce_rate'])
            # Если отчет старый (например, старше года), делаем URL неизменяемым
            from django.utils import timezone
            if obj.calculated_at and obj.calculated_at < timezone.now() - timezone.timedelta(days=365):
                 base_readonly.append('url')

        # Суперпользователи могут редактировать все, кроме базовых полей
        if request.user.is_superuser and obj: 
            return tuple(base_readonly[:3]) # Только 'report_id', 'created_at', 'calculated_at'

        return tuple(base_readonly)

Использование get_fields для управления отображением полей и установка readonly атрибута

Метод get_fields контролирует, какие поля вообще отображаются на форме добавления/редактирования. Хотя он напрямую не устанавливает атрибут readonly, комбинируя его с readonly_fields или get_readonly_fields, можно добиться нужного эффекта. Если поле не включено в fields (или fieldsets), оно не будет отображаться и, следовательно, не будет редактируемым.

Чтобы сделать все поля только для чтения, можно переопределить get_fields так, чтобы он возвращал пустой список для редактируемых полей, но это плохая практика, так как поля просто исчезнут. Правильнее использовать get_readonly_fields.

Сравнение readonly_fields и get_readonly_fields

• readonly_fields:
  • Простота использования для статических случаев.
  • Определяется один раз при загрузке класса.
  • Менее гибкий.
• get_readonly_fields:
  • Позволяет реализовать сложную логику.
  • Учитывает request и obj.
  • Более гибкий, но требует написания кода.
  • Идеально подходит для динамического определения read-only статуса.

Создание Mixin для автоматической установки всех полей только для чтения

Разработка ReadonlyAdminMixin класса

Чтобы не повторять логику в каждом ModelAdmin, можно создать миксин (Mixin), который переопределяет get_readonly_fields для автоматического добавления всех полей модели в список readonly.

# admin_mixins.py
from django.db.models import Model
from django.http import HttpRequest
from typing import Optional, Tuple, Type

class ReadonlyAdminMixin:
    """Миксин для установки всех полей модели в режим только для чтения."""

    def get_readonly_fields(self, request: HttpRequest, obj: Optional[Model] = None) -> Tuple[str, ...]:
        """Возвращает все поля модели как readonly."""
        if self.model:
            # Получаем все имена полей модели
            # Не включаем автоинкрементные PK и поля с auto_now/auto_now_add, 
            # так как Django может обрабатывать их иначе в readonly.
            # Однако, для простоты и полноты, здесь включим все.
            # Можно добавить исключения при необходимости.
            opts = self.model._meta
            readonly_fields: list[str] = [field.name for field in opts.get_fields()]
            return tuple(readonly_fields)
        return super().get_readonly_fields(request, obj) # type: ignore

    # Дополнительно можно запретить добавление и удаление
    def has_add_permission(self, request: HttpRequest) -> bool:
        return False

    def has_delete_permission(self, request: HttpRequest, obj: Optional[Model] = None) -> bool:
        return False

Применение ReadonlyAdminMixin к существующим ModelAdmin

Использовать миксин очень просто: достаточно унаследовать от него ваш ModelAdmin.

# admin.py
from django.contrib import admin
from .models import WebAnalyticsReport
from .admin_mixins import ReadonlyAdminMixin

@admin.register(WebAnalyticsReport)
class WebAnalyticsReportReadonlyAdmin(ReadonlyAdminMixin, admin.ModelAdmin):
    # Настройки отображения списка и поиска остаются
    list_display: tuple[str, ...] = ('url', 'visits', 'unique_visitors', 'bounce_rate', 'created_at')
    search_fields: tuple[str, ...] = ('url',)

    # readonly_fields и get_readonly_fields теперь управляются миксином
    # Можно добавить кастомные методы для отображения в readonly_fields миксина, если это необходимо

Теперь все поля модели WebAnalyticsReport в админке будут доступны только для чтения.

Преимущества и недостатки использования Mixin

Преимущества:

• Переиспользование кода: Логика «только для чтения» инкапсулирована в одном месте.
• Чистота кода: ModelAdmin классы остаются более лаконичными.
• Простота применения: Легко добавить функциональность к любому ModelAdmin.
• Гибкость: Миксин можно доработать для более сложных сценариев (например, условное применение).

Недостатки:

• Неявное поведение: Может быть не сразу очевидно, почему все поля стали readonly.
• Потенциальные конфликты: Если ModelAdmin уже использует get_readonly_fields, может возникнуть конфликт методов (решается через порядок наследования и super()).

Расширенные сценарии и лучшие практики

Условная установка полей только для чтения (например, на основе роли пользователя)

Метод get_readonly_fields идеально подходит для реализации условной логики. Например, можно проверять группу пользователя (request.user.groups) или флаг is_staff/is_superuser.

# admin.py (внутри ModelAdmin)
from django.http import HttpRequest
from typing import Optional, Tuple

def get_readonly_fields(self, request: HttpRequest, obj: Optional[WebAnalyticsReport] = None) -> Tuple[str, ...]:
    readonly_base = ('report_id', 'created_at', 'calculated_at')
    if request.user.groups.filter(name='Content Managers').exists():
        # Контент-менеджеры могут менять только URL
        return readonly_base + ('visits', 'unique_visitors', 'bounce_rate')
    elif not request.user.is_superuser:
        # Остальные не-суперпользователи видят всё только для чтения
        opts = self.model._meta
        return tuple([field.name for field in opts.get_fields()])
    # Суперпользователи могут редактировать все, кроме базовых полей
    return readonly_base

Обработка связанных моделей и полей ManyToMany

Поля ForeignKey и OneToOneField в readonly_fields отображаются как ссылки. Поля ManyToManyField отображаются как список связанных объектов. Редактирование через виджеты (например, FilteredSelectMultiple) будет недоступно.

Если нужно сделать инлайны (inline models) только для чтения, для InlineModelAdmin также можно использовать readonly_fields или get_readonly_fields.

# admin.py
from django.contrib import admin
from .models import WebAnalyticsReport, ReportTag

class ReportTagInline(admin.TabularInline):
    model = ReportTag
    extra = 0
    # Делаем поля инлайна readonly
    readonly_fields = ('tag_name', 'added_by') 

@admin.register(WebAnalyticsReport)
class WebAnalyticsReportAdmin(admin.ModelAdmin):
    # ... другие настройки ...
    readonly_fields = ('report_id', 'created_at', 'calculated_at', 'visits', 'unique_visitors', 'bounce_rate')
    inlines = [ReportTagInline]

Тестирование и отладка конфигурации полей только для чтения

• Визуальная проверка: Самый простой способ — зайти в админку под разными пользователями и проверить доступность полей.
• Юнит-тесты: Можно написать тесты, проверяющие результат вызова get_readonly_fields для разных request и obj.
• Django Debug Toolbar: Помогает инспектировать request и контекст представления админки.
• Логирование: Добавьте отладочные print или logging в методы get_readonly_fields, чтобы понять, какой список полей возвращается в различных ситуациях.

Убедитесь, что ваша логика корректно обрабатывает как создание нового объекта (obj=None), так и редактирование существующего.