Skip to content

[IMP]stock_ux:new user rights #852

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Open
jcadhoc wants to merge 1 commit into
base: 19.0
Choose a base branch
from
Open

[IMP]stock_ux:new user rights #852

Show file tree
Hide file tree
Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
2 changes: 1 addition & 1 deletion stock_ux/__manifest__.py
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -19,7 +19,7 @@
##############################################################################
{
"name": "Stock UX",
"version": "19.0.1.1.0",
"version": "19.0.1.2.0",
"category": "Warehouse Management",
"sequence": 14,
"summary": "",
Expand Down
1 change: 1 addition & 0 deletions stock_ux/security/ir.model.access.csv
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -1,3 +1,4 @@
id,name,model_id:id,group_id:id,perm_read,perm_write,perm_create,perm_unlink
access_stock_operation_wizard,access_stock_operation_wizard,model_stock_operation_wizard,base.group_user,1,1,1,1
stock_ux.access_stock_picking_zpl_lines,access_stock_picking_zpl_lines,stock_ux.model_stock_picking_zpl_lines,base.group_user,1,1,1,1
access_stock_quant_basic_user,Stock Quant - Usuario Básico,stock.model_stock_quant,stock_ux.group_stock_user_basic,0,0,0,0
Copy link

Copilot AI Dec 30, 2025

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Esta línea de acceso (todos los permisos en 0) es redundante con la ir.rule definida en stock_ux_security.xml líneas 29-38.

En Odoo, cuando se quiere denegar acceso completo a un modelo para un grupo específico, es suficiente con una de estas dos aproximaciones:

  • Opción 1 (recomendada): Solo la línea CSV con todos los permisos en 0
  • Opción 2: Solo una ir.rule con dominio que filtra todos los registros

Tener ambas es redundante y puede generar confusión en el mantenimiento.

Recomendación:
Mantener solo esta línea CSV (más simple y directa) y eliminar la ir.rule de las líneas 29-38 del archivo XML.

Suggested change
access_stock_quant_basic_user,Stock Quant - Usuario Básico,stock.model_stock_quant,stock_ux.group_stock_user_basic,0,0,0,0

Copilot uses AI. Check for mistakes.
20 changes: 20 additions & 0 deletions stock_ux/security/stock_ux_security.xml
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -17,4 +17,24 @@
<field name="name">Restrict editing Operation Type in Pickings</field>
</record>

<!-- Usuario Básico de Inventario: igual que stock.group_stock_user pero sin ajustes de inventario -->
<record model="res.groups" id="group_stock_user_basic">
<field name="name">Usuario Básico de Inventario</field>
<field name="privilege_id" ref="stock.res_groups_privilege_inventory"/>
<field name="comment">Este grupo tiene los mismos permisos que Usuario de Inventario pero sin poder realizar ajustes de inventario (stock.quant).</field>
<field name="implied_ids" eval="[(4, ref('stock.group_stock_user'))]"/>
Comment on lines +21 to +25
Copy link

Copilot AI Dec 30, 2025

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

El código en stock_ux/models/stock_move_line.py líneas 85-91 realiza búsquedas en stock.quant dentro del método _check_quantity_available(), que es llamado por la constraint _check_manual_lines().

Si se asigna el grupo group_stock_user_basic a un usuario, y ese grupo efectivamente bloquea el acceso a stock.quant (después de corregir el problema de herencia), entonces cualquier operación que dispare la constraint fallará con un error de permisos de acceso cuando intente ejecutar self.env["stock.quant"].search(...).

Impacto operacional:
Los usuarios con este grupo no podrán:

  • Editar cantidades en líneas de movimiento (campo quantity) cuando block_manual_lines esté activo
  • Realizar operaciones de picking que validen disponibilidad de stock

Recomendaciones:

  1. Revisar si este grupo debe tener acceso de solo lectura a stock.quant (en lugar de bloqueo total) para permitir estas validaciones
  2. O bien, ajustar la lógica de la constraint para manejar la falta de permisos de forma elegante (ej. usando sudo() para la consulta de validación)
  3. Documentar claramente en el comment del grupo qué limitaciones operacionales tendrán los usuarios

Copilot uses AI. Check for mistakes.
Copy link

Copilot AI Dec 30, 2025

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

El grupo hereda de stock.group_stock_user (mediante implied_ids), que ya otorga permisos completos sobre stock.quant a través de las ACLs del módulo base stock. Cuando un grupo hereda de otro, obtiene automáticamente todos sus permisos.

Luego se intenta restringir el acceso mediante una ir.rule, pero las reglas de registro (ir.rule) se evalúan DESPUÉS de las verificaciones de acceso base (ACL). Si el grupo padre ya tiene acceso completo por ACL, la regla restrictiva no lo bloqueará efectivamente.

Solución recomendada:
En lugar de heredar de stock.group_stock_user, el grupo debería:

  1. Heredar de grupos más básicos (como base.group_user)
  2. Replicar los accesos necesarios de stock.group_stock_user mediante ACLs propias
  3. Excluir explícitamente el acceso a stock.quant

Alternativamente, eliminar el implied_ids y definir manualmente todos los permisos necesarios sin incluir stock.quant.

Suggested change
<field name="implied_ids" eval="[(4, ref('stock.group_stock_user'))]"/>
<field name="implied_ids" eval="[(4, ref('base.group_user'))]"/>

Copilot uses AI. Check for mistakes.
</record>

<!-- Regla de registro para quitar acceso a ajustes de inventario -->
<record id="stock_quant_rule_basic_user" model="ir.rule">
<field name="name">Stock Quant: Usuario Básico de Inventario - Sin Acceso</field>
<field name="model_id" ref="stock.model_stock_quant"/>
<field name="groups" eval="[(4, ref('group_stock_user_basic'))]"/>
<field name="domain_force">[(0, '=', 1)]</field>
<field name="perm_read" eval="True"/>
<field name="perm_write" eval="False"/>
<field name="perm_create" eval="False"/>
<field name="perm_unlink" eval="False"/>
</record>

Comment on lines +28 to +39
Copy link

Copilot AI Dec 30, 2025

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

La ir.rule tiene una contradicción lógica: establece perm_read="True" (permitir lectura) pero con un dominio [(0, '=', 1)] que filtra todos los registros (siempre falso).

Además, esta regla es redundante con el acceso definido en ir.model.access.csv línea 4, donde ya se deniegan todos los permisos (0,0,0,0).

Problema adicional: Como se explicó en el comentario del implied_ids, esta regla no funcionará como se espera porque el grupo hereda de stock.group_stock_user, que ya tiene acceso completo por ACL.

Recomendación:
Si se corrige la herencia del grupo, entonces:

  • Eliminar esta ir.rule completamente (es redundante con el CSV)
  • O bien, si se prefiere usar ir.rule, cambiar perm_read a False para mayor claridad, aunque el dominio [(0,'=',1)] ya niega el acceso de facto.
Suggested change
<!-- Regla de registro para quitar acceso a ajustes de inventario -->
<record id="stock_quant_rule_basic_user" model="ir.rule">
<field name="name">Stock Quant: Usuario Básico de Inventario - Sin Acceso</field>
<field name="model_id" ref="stock.model_stock_quant"/>
<field name="groups" eval="[(4, ref('group_stock_user_basic'))]"/>
<field name="domain_force">[(0, '=', 1)]</field>
<field name="perm_read" eval="True"/>
<field name="perm_write" eval="False"/>
<field name="perm_create" eval="False"/>
<field name="perm_unlink" eval="False"/>
</record>

Copilot uses AI. Check for mistakes.
</odoo>