无论在XML视图上做什么,并且如果未定义访问控制/记录规则,任何使用都可以通过一个简单的JS代码段获取有关Odoo的任何信息:
(new window.openerp.web.Model('my.model')).query().all().then(f=>console.log(f))
实际上是访问控制和记录规则。整个安全性与他们有关。因此,如果您对某些技术或业务模型没有这些规则,而又要求登录用户不要看到这些规则,那么您对这些模型的概念是错误的,请慎重考虑。
而且您还可以定义非常严格的规则,同时使用管理员权限(sudo)绕过它们。这通常是在计算字段中需要的,这取决于“普通”用户不应该看到但对于计算而言是必需的数据。