模型“查看”权限

“查看”权限被添加到模型 Meta.default_permissions。 运行 :djadmin:`migrate` 时将自动创建新权限。

这允许授予用户对管理员中模型的只读访问权限。 ModelAdmin.has_view_permission() 是新的。 该实现是向后兼容的，因为不需要分配“查看”权限来允许具有“更改”权限的用户编辑对象。

有几个 向后不兼容的考虑 。

小功能

数据库后端API

本节介绍第三方数据库后端可能需要的更改。

• 为了遵守 PEP 249，数据库不支持功能的例外情况从 NotImplementedError 更改为 django.db.NotSupportedError。
• 将 allow_sliced_subqueries 数据库功能标志重命名为 allow_sliced_subqueries_with_in。
• DatabaseOperations.distinct_sql() 现在需要一个额外的 params 参数并返回一个 SQL 和参数的元组，而不是一个 SQL 字符串。
• DatabaseFeatures.introspected_boolean_field_type 从方法变为属性。

django.contrib.gis

• 删除了对 SpatiaLite 4.0 的支持。

不再支持 MySQL 5.5

MySQL 5.5 上游支持的结束时间是 2018 年 12 月。 Django 2.1 支持 MySQL 5.6 及更高版本。

不再支持 PostgreSQL 9.3

对 PostgreSQL 9.3 的上游支持将于 2018 年 9 月结束。 Django 2.1 支持 PostgreSQL 9.4 及更高版本。

从默认 PASSWORD_HASHERS 设置中删除 BCryptPasswordHasher

如果您在 Django 1.4 或 1.5 中使用 bcrypt（在 Django 1.6 中添加 BCryptSHA256PasswordHasher 之前），您可能有一些使用 BCryptPasswordHasher 哈希器的密码。

您可以检查是否是这种情况：

from django.contrib.auth import get_user_model
User = get_user_model()
User.objects.filter(password__startswith='bcrypt$$')

如果你想继续允许使用这些密码，你必须定义 :setting:`PASSWORD_HASHERS` 设置（如果你还没有）并包括 'django.contrib.auth.hashers.BCryptPasswordHasher'。

移动 wrap_label 小部件模板上下文变量

为了修复在使用 RadioSelect 和 CheckboxSelectMultiple 和 MultiWidget 时缺少 <label>，wrap_label 上下文变量现在显示为每个的属性选项。 例如，在自定义 input_option.html 模板中，将 {% if wrap_label %} 更改为 {% if widget.wrap_label %}。

SameSite 饼干

用于 django.contrib.sessions、django.contrib.messages 和 Django 的 CSRF 保护的 cookie 现在默认将 SameSite 标志设置为 Lax。 尊重此标志的浏览器不会在跨域请求中发送这些 cookie。 如果您依赖旧行为，请将 :setting:`SESSION_COOKIE_SAMESITE` 和/或 :setting:`CSRF_COOKIE_SAMESITE` 设置为 None。

新模型“查看”权限的注意事项

class MyAdmin(admin.ModelAdmin):
    def get_form(self, request, obj=None, **kwargs):
        if not self.has_change_permission(request, obj):
            return super().get_form(request, obj, **kwargs)
        return CustomForm

杂项

• mysqlclient的最低支持版本从1.3.3增加到1.3.7。
• 删除了对 SQLite < 3.7.15 的支持。
• Set-Cookie 的 Expires 指令的日期格式已更改为遵循 RFC 7231#section-7.1.1.1 而不是 Netscape 的 cookie 标准。 删除了 Tue, 25-Dec-2018 22:26:13 GMT 等日期中出现的连字符。 除了不解析新格式的过时浏览器之外，这种更改应该只是装饰性的。
• allowed_hosts 现在是私有 API django.utils.http.is_safe_url() 的必需参数。
• SelectMultiple 小部件呈现的 multiple 属性现在使用 HTML5 布尔语法，而不是 XHTML 的 multiple="multiple"。
• 由表单小部件呈现的 HTML 不再包含空元素上的结束斜线，例如 <br>。 这在 XHTML 中是不兼容的，尽管一些小部件已经使用了 HTML5 的一些方面，例如布尔属性。
• SelectDateWidget的空选项的值从0变为空字符串，这主要可能需要在比较HTML的测试中做一些调整。
• User.has_usable_password() 和 is_password_usable() 函数不再返回 False 如果密码是 None 或空字符串，或者密码使用不在 :setting:`PASSWORD_HASHERS` 设置中的散列器。 这种未记录的行为是 Django 1.6 中的一个回归，并阻止使用此类密码的用户请求密码重置。 审核您的代码以确认您对这些 API 的使用不依赖于旧行为。
• 由于迁移现在是从 .pyc 文件加载的，如果您在 Python 2 和 Python 3 混合环境中工作，则可能需要删除它们。
• 使用 None 作为 JSONField 查找值现在匹配具有指定键和空值的对象，而不是没有键的对象。
• 管理 CSS 类 field-box 重命名为 fieldBox 以防止与赋予名为“box”的模型字段的类发生冲突。
• 由于管理员的 actions.html、change_list_results.html、date_hierarchy.html、pagination.html、prepopulated_fields_js.html、search_form.html 和 [ X92X] 模板现在可以按应用程序或模型覆盖，您可能需要使用为不同目的编写的名称重命名现有模板。
• QuerySet.raw() 现在像常规查询集一样缓存其结果。 如果您不想缓存，请使用 iterator()。
• 数据库路由器 allow_relation() 方法在更多情况下被调用。 编写不当的路由器可能需要相应地更新。
• 在运行管理命令之前不再停用翻译。 如果您的自定义命令需要停用翻译（例如，将未翻译的内容插入数据库），请使用新的 @no_translations 装饰器 。
• 管理命令不再允许 --settings 和 --pythonpath 参数的缩写形式。
• 私有 django.db.models.sql.constants.QUERY_TERMS 常量被删除。 Lookup Registration API 的 get_lookup() 和 get_lookups() 方法可能是合适的替代方法。 与 QUERY_TERMS 常量相比，它们允许您的代码也考虑已注册的任何自定义查找。
• 与 py-bcrypt 的兼容性被删除，因为它没有维护。 改用 bcrypt。

杂项

• ForceRHR GIS 功能已弃用，取而代之的是新的 ForcePolygonCW 功能。
• django.utils.http.cookie_date() 被弃用，取而代之的是 http_date()，它遵循最新的 RFC 格式。
• {% load staticfiles %} 和 {% load admin_static %} 已弃用，取而代之的是 {% load static %}，它们的工作原理相同。
• django.contrib.staticfiles.templatetags.static() 已弃用，取而代之的是 django.templatetags.static.static()。
• Django 3.0 中将删除对不接受 obj 作为第二个位置参数的 InlineModelAdmin.has_add_permission() 方法的支持。