给Django Admin添加验证码和多次登录尝试限制的实现


Posted in Python onJuly 26, 2020

Django自带的Admin很好用,但是放到生产环境总还差了点什么= =

看看admin的介绍:

Django奉行Python的内置电池哲学。它自带了一系列在Web开发中用于解决常见问题或需求的额外的、可选工具。这些工具和插件,例如django.contrib.redirects都必须在settings中的INSTALLED_APPS处进行注册,有的还需要执行manage.py migrate命令,在数据库中创建一些数据表。

Admin站点是Django有别于其它Web框架最重要的一点,并且非常受欢迎,简直是出门旅游xxxx的必备。不管你是写个小demo还是做个大项目都用得上。admin(下文中将Admin管理后台简称为admin)通过读取你的模型数据,快速构造出一个可以对实际数据进行管理的Web站点,常用于开发测试,简单管理等场合,适用于部门内部为工作方便的场合, 但不建议在生产环境中使用。

为什么不建议在生产环境使用呢,因为Admin缺了验证码和登录限制这种安全方面的功能!等会被人随便暴力破解就进后台了,那我们的系统安全性还怎么保障?

但是别急,我已经通过魔改的方式实现了验证码和登录限制了,现在可以愉快使用admin系统了。

先看看效果

给Django Admin添加验证码和多次登录尝试限制的实现

效果还是nice的,登录尝试次数可以自己设定,我这里就不演示了,输那么多次错误密码太麻烦了。

验证码

验证码我是用了 django-simple-captcha 这个库,配合 multi_captcha_admin 来生成验证码form,非常方便。

首先是pip安装这两个库,大家都懂的,不再赘述。

配置一下 settings.py

INSTALLED_APPS = [
  'multi_captcha_admin',
]
 
# 验证码配置
MULTI_CAPTCHA_ADMIN = {
  'engine': 'simple-captcha',
}

配置 urls.py

# 添加这一项
path('captcha/', include('captcha.urls')),

到了这步就好啦,如果用的是Django官方的Admin就直接能显示出登录的验证码了,不过我用的是第三方的Admin,所以需要手动添加form。

方法很简单,找到 login.html ,在登录的表单里面添加这一项就好了。

{{ form.captcha }}

默认生成的验证码和输入框是原生样式,比较丑~ 我们可以优化一下。我是用js把生成的图片和验证码输入框替换成elementUI的样式,有需要的小伙伴可以参考一下。

var row = document.querySelector('#captcha_group');
 
var captcha_img = document.querySelector('img.captcha');
var col_8 = document.createElement('el-col');
col_8.setAttribute(':span', '8');
col_8.appendChild(captcha_img);
 
var captcha_input = document.querySelector('#id_captcha_1');
var el_input = document.createElement('el-input');
var col_16 = document.createElement('el-col');
col_16.setAttribute(':span', '16');
el_input.setAttribute('name', captcha_input.getAttribute('name'));
el_input.setAttribute('v-model', 'captcha');
el_input.setAttribute('required', 'required');
el_input.setAttribute('placeholder', '请输入验证码');
col_16.appendChild(el_input);
 
captcha_input.parentNode.removeChild(captcha_input);
 
row.appendChild(col_8);
row.appendChild(col_16);

登录限流

这个也不复杂,不过我一开始做还是花了比较长时间,查不到什么有用的资料,后面我去读了Django Admin的代码,一下就想出解决方法了哈哈~

通过admin的代码,我发现处理登录是 admin.site.login(request, extra_context) 这个方法,那问题就变得很简单了,给他加一个装饰器就好了,不过我们不能去修改框架的代码,所以自己写一个新的view,如下:

# 覆盖默认的admin登录方法实现登录限流
@ratelimit(key='ip', rate='5/m', block=True)
def extend_admin_login(request, extra_context=None):
  return admin.site.login(request, extra_context)

然后在 urls.py 里配置一下,记得要放在 admin 的前面:

urlpatterns = [
  path('admin/login/', views.extend_admin_login),
  path('admin/', admin.site.urls),
]

这样就可以实现限流了,这里要介绍一下 ratelimit 这个装饰器,这是django-ratelimit这个包提供的,为了使用这个包,需要配置redis缓存,附上配置代码:

# 配置redis缓存
CACHES = {
  'default': {
    'BACKEND': 'django_redis.cache.RedisCache', # 缓存后端 Redis
    # 连接Redis数据库(服务器地址)
    # 一主带多从(可以配置个Redis,写走第一台,读走其他的机器)
    'LOCATION': [
      'redis://localhost:6379/0',
    ],
    'KEY_PREFIX': 'milky', # 项目名当做文件前缀
    'OPTIONS': {
      'CLIENT_CLASS': 'django_redis.client.DefaultClient', # 连接选项(默认,不改)
      'CONNECTION_POOL_KWARGS': {
        'max_connections': 512, # 连接池的连接(最大连接)
      },
    }
  }
}

@ratelimit(key='ip', rate='5/m', block=True)key=ip 表示根据ip来区分, rate=5/m 表示一分钟最多请求这个接口5次, block=true 表示超过这个限制就直接拦截,如果没有设置block参数的话,超过限制也不会拦截,但是可以在ratelimit计数器里面看到请求的次数。

更多用法可以看官方文档: https://django-ratelimit.readthedocs.io/en/stable/index.html

参考资料

https://github.com/a-roomana/django-multi-captcha-admin

https://django-simple-captcha.readthedocs.io/en/latest/advanced.html#rendering

到此这篇关于给Django Admin添加验证码和多次登录尝试限制的实现的文章就介绍到这了,更多相关Django Admin验证码和登录限制内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Python 相关文章推荐
python实现sublime3的less编译插件示例
Apr 27 Python
pycharm 使用心得(三)Hello world!
Jun 05 Python
详解Python函数作用域的LEGB顺序
May 14 Python
浅谈Python批处理文件夹中的txt文件
Mar 11 Python
python 采用paramiko 远程执行命令及报错解决
Oct 21 Python
python tornado使用流生成图片的例子
Nov 18 Python
python 消费 kafka 数据教程
Dec 21 Python
Python基于yield遍历多个可迭代对象
Mar 12 Python
django 数据库 get_or_create函数返回值是tuple的问题
May 15 Python
基于python纯函数实现井字棋游戏
May 27 Python
浅析NumPy 切片和索引
Sep 02 Python
使用opencv-python如何打开USB或者笔记本前置摄像头
Jun 21 Python
python如何支持并发方法详解
Jul 25 #Python
Python获取浏览器窗口句柄过程解析
Jul 25 #Python
用Python 爬取猫眼电影数据分析《无名之辈》
Jul 24 #Python
基于Python实现简单学生管理系统
Jul 24 #Python
用python实现学生管理系统
Jul 24 #Python
Python 解析简单的XML数据
Jul 24 #Python
深入了解NumPy 高级索引
Jul 24 #Python
You might like
PHP下对数组进行排序的函数
2010/08/08 PHP
基于PHP+Ajax实现表单验证的详解
2013/06/25 PHP
显示程序执行时间php函数代码
2013/08/29 PHP
ThinkPHP中U方法的使用浅析
2014/06/13 PHP
php cookie工作原理与实例详解
2016/07/18 PHP
JavaScript创建命名空间(namespace)的最简实现
2007/12/11 Javascript
自己动手开发jQuery插件教程
2011/08/25 Javascript
js 可拖动列表实现代码
2011/12/13 Javascript
jQuery获取iframe的document对象的方法
2014/10/10 Javascript
JS+CSS实现滑动切换tab菜单效果
2015/08/25 Javascript
window.location.hash知识汇总
2015/11/09 Javascript
javascript cookie用法基础教程(概念,设置,读取及删除)
2016/09/20 Javascript
详解vue.js的事件处理器v-on:click
2017/06/27 Javascript
jQuery读取本地的json文件(实例讲解)
2017/10/31 jQuery
利用百度地图API获取当前位置信息的实例
2017/11/06 Javascript
关于angularJs清除浏览器缓存的方法
2017/11/28 Javascript
Node.js中你不可不精的Stream(流)
2018/06/08 Javascript
webpack4 + react 搭建多页面应用示例
2018/08/03 Javascript
Vue.js组件间通信方式总结【推荐】
2018/11/23 Javascript
vue组件之间通信实例总结(点赞功能)
2018/12/05 Javascript
如何在微信小程序里面退出小程序的方法
2019/04/28 Javascript
你或许不知道的一些npm实用技巧
2019/07/04 Javascript
Python实现的批量下载RFC文档
2015/03/10 Python
python实现定时同步本机与北京时间的方法
2015/03/24 Python
wxpython中自定义事件的实现与使用方法分析
2016/07/21 Python
Django中url的反向查询的方法
2018/03/14 Python
Python获取对象属性的几种方式小结
2020/03/12 Python
墨西哥运动服饰和鞋网上商店:Netshoes墨西哥
2016/07/28 全球购物
美国网上眼镜商城:Zenni Optical
2016/11/20 全球购物
德国足球商店:OUTFITTER
2019/05/06 全球购物
心理健康教育制度
2014/01/27 职场文书
超市国庆节促销方案
2014/02/20 职场文书
个人房屋买卖协议书(范本)
2014/10/04 职场文书
跟班学习心得体会(共6篇)
2016/01/23 职场文书
CSS实现漂亮的时钟动画效果的实例代码
2021/03/30 HTML / CSS
帮你提高开发效率的JavaScript20个技巧
2021/06/18 Javascript