示例

1. id="base.group_website_publisher" model="res.groups">
2. name="name">Display Editor Bar on Website
3. name="category_id" ref="base.module_category_website"/>
4.  
5.  
6. id="base.group_website_designer" model="res.groups">
7. name="name">Manage Website and qWeb view
8. name="users" eval="[(4, ref('base.user_root'))]"/>
9. name="implied_ids" eval="[(4, ref('base.group_website_publisher'))]"/>
10. name="category_id" ref="base.module_category_website"/>
11.  

以上截选自 odoo website 模块源码，创建了两个组

name 组的描述名称
category_id 指定此组属于哪个应用程序（模块）
users 指定了组里面的用户，这里表示把admin用户添加到该组

eval 解析
(4,ID)添加主从链接关系到id=ID的对象。

(3,ID)去除和id=ID的对象主从链接关系,但是不删除这个对象

(2,ID) 去除和id=ID的对象主从链接关系,并且删除这个对象（调用unlink方法）

(5) 去除所有的链接关系,也就是循环所有的从数据且调用(3,ID)

(6,0,[IDs]) 用IDs里面的记录替换原来链接的记录，即先执行(5)再循环IDs执行（4,ID）

组和菜单

1. model="ir.ui.menu" id=" memu_id1">
2. name="name" >menu1
3. name="groups_id" eval="[(6,0,[ref('A'),ref('B')]),]"/>
4. name="sequence">1
5.  

name 菜单名称
groups_id 哪些组可以访问该菜单

以上内容表示A组与B组的成员都可以访问menu1菜单

另一中写法：

1. id="menu_id1 " name="menu1" parent="menu_p" sequence="1" groups="A,B "/>

base.group_user 是一个通用的系统内置用户组, Odoo系统中所有用户默认属于此组

记录规则

权限规则可用于更精细化的权限控制，对应【设置】->【安全】->【记录规则】的数据

1. model="ir.rule" id="rule1">
2. name="name">rule1
3. name="model_id" ref="model_model1"/>
4. name="global" eval="True"/>
5. name="domain_force">[1,’=’,1]
6. name="groups" eval="[(4,ref('A'))]"/>
7.  

name 规则名称
model_id 对应的模型
global 是否是全局
domain_force 过滤条件
groups 属于哪个组

以上表示A组的成员就可以获取model_model1的所有数据，可以看出domain_force是控制的关键

访问控制列表（组和权限映射表）

另一种表达权限规则的方式是编写 ir.model.access.csv 文件
对应【设置】->【安全】->【访问控制列表】的数据
示例：

model_id:id 对应的对象模型，
写法示例：website.model_website_config_settings
如果内容本身在website模块中则可以省略website.
后面则为模型的name将”.”替换成”-“的结果，在前面加model_

group_id:id 哪个组
perm_read、perm_write、perm_create、perm_unlink 增删改查权限。1 有权限 0 无权限