给Django Admin添加验证码和多次登录尝试限制的实现


Posted in Python onJuly 26, 2020

Django自带的Admin很好用,但是放到生产环境总还差了点什么= =

看看admin的介绍:

Django奉行Python的内置电池哲学。它自带了一系列在Web开发中用于解决常见问题或需求的额外的、可选工具。这些工具和插件,例如django.contrib.redirects都必须在settings中的INSTALLED_APPS处进行注册,有的还需要执行manage.py migrate命令,在数据库中创建一些数据表。

Admin站点是Django有别于其它Web框架最重要的一点,并且非常受欢迎,简直是出门旅游xxxx的必备。不管你是写个小demo还是做个大项目都用得上。admin(下文中将Admin管理后台简称为admin)通过读取你的模型数据,快速构造出一个可以对实际数据进行管理的Web站点,常用于开发测试,简单管理等场合,适用于部门内部为工作方便的场合, 但不建议在生产环境中使用。

为什么不建议在生产环境使用呢,因为Admin缺了验证码和登录限制这种安全方面的功能!等会被人随便暴力破解就进后台了,那我们的系统安全性还怎么保障?

但是别急,我已经通过魔改的方式实现了验证码和登录限制了,现在可以愉快使用admin系统了。

先看看效果

给Django Admin添加验证码和多次登录尝试限制的实现

效果还是nice的,登录尝试次数可以自己设定,我这里就不演示了,输那么多次错误密码太麻烦了。

验证码

验证码我是用了 django-simple-captcha 这个库,配合 multi_captcha_admin 来生成验证码form,非常方便。

首先是pip安装这两个库,大家都懂的,不再赘述。

配置一下 settings.py

INSTALLED_APPS = [
  'multi_captcha_admin',
]
 
# 验证码配置
MULTI_CAPTCHA_ADMIN = {
  'engine': 'simple-captcha',
}

配置 urls.py

# 添加这一项
path('captcha/', include('captcha.urls')),

到了这步就好啦,如果用的是Django官方的Admin就直接能显示出登录的验证码了,不过我用的是第三方的Admin,所以需要手动添加form。

方法很简单,找到 login.html ,在登录的表单里面添加这一项就好了。

{{ form.captcha }}

默认生成的验证码和输入框是原生样式,比较丑~ 我们可以优化一下。我是用js把生成的图片和验证码输入框替换成elementUI的样式,有需要的小伙伴可以参考一下。

var row = document.querySelector('#captcha_group');
 
var captcha_img = document.querySelector('img.captcha');
var col_8 = document.createElement('el-col');
col_8.setAttribute(':span', '8');
col_8.appendChild(captcha_img);
 
var captcha_input = document.querySelector('#id_captcha_1');
var el_input = document.createElement('el-input');
var col_16 = document.createElement('el-col');
col_16.setAttribute(':span', '16');
el_input.setAttribute('name', captcha_input.getAttribute('name'));
el_input.setAttribute('v-model', 'captcha');
el_input.setAttribute('required', 'required');
el_input.setAttribute('placeholder', '请输入验证码');
col_16.appendChild(el_input);
 
captcha_input.parentNode.removeChild(captcha_input);
 
row.appendChild(col_8);
row.appendChild(col_16);

登录限流

这个也不复杂,不过我一开始做还是花了比较长时间,查不到什么有用的资料,后面我去读了Django Admin的代码,一下就想出解决方法了哈哈~

通过admin的代码,我发现处理登录是 admin.site.login(request, extra_context) 这个方法,那问题就变得很简单了,给他加一个装饰器就好了,不过我们不能去修改框架的代码,所以自己写一个新的view,如下:

# 覆盖默认的admin登录方法实现登录限流
@ratelimit(key='ip', rate='5/m', block=True)
def extend_admin_login(request, extra_context=None):
  return admin.site.login(request, extra_context)

然后在 urls.py 里配置一下,记得要放在 admin 的前面:

urlpatterns = [
  path('admin/login/', views.extend_admin_login),
  path('admin/', admin.site.urls),
]

这样就可以实现限流了,这里要介绍一下 ratelimit 这个装饰器,这是django-ratelimit这个包提供的,为了使用这个包,需要配置redis缓存,附上配置代码:

# 配置redis缓存
CACHES = {
  'default': {
    'BACKEND': 'django_redis.cache.RedisCache', # 缓存后端 Redis
    # 连接Redis数据库(服务器地址)
    # 一主带多从(可以配置个Redis,写走第一台,读走其他的机器)
    'LOCATION': [
      'redis://localhost:6379/0',
    ],
    'KEY_PREFIX': 'milky', # 项目名当做文件前缀
    'OPTIONS': {
      'CLIENT_CLASS': 'django_redis.client.DefaultClient', # 连接选项(默认,不改)
      'CONNECTION_POOL_KWARGS': {
        'max_connections': 512, # 连接池的连接(最大连接)
      },
    }
  }
}

@ratelimit(key='ip', rate='5/m', block=True)key=ip 表示根据ip来区分, rate=5/m 表示一分钟最多请求这个接口5次, block=true 表示超过这个限制就直接拦截,如果没有设置block参数的话,超过限制也不会拦截,但是可以在ratelimit计数器里面看到请求的次数。

更多用法可以看官方文档: https://django-ratelimit.readthedocs.io/en/stable/index.html

参考资料

https://github.com/a-roomana/django-multi-captcha-admin

https://django-simple-captcha.readthedocs.io/en/latest/advanced.html#rendering

到此这篇关于给Django Admin添加验证码和多次登录尝试限制的实现的文章就介绍到这了,更多相关Django Admin验证码和登录限制内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Python 相关文章推荐
Python3实现将文件归档到zip文件及从zip文件中读取数据的方法
May 22 Python
Python之pandas读写文件乱码的解决方法
Apr 20 Python
将Python文件打包成.EXE可执行文件的方法
Aug 11 Python
python实现最大优先队列
Aug 29 Python
Python shutil模块用法实例分析
Oct 02 Python
python实现监控阿里云账户余额功能
Dec 16 Python
python解析多层json操作示例
Dec 30 Python
Python timer定时器两种常用方法解析
Jan 20 Python
Django 实现将图片转为Base64,然后使用json传输
Mar 27 Python
python中pandas.read_csv()函数的深入讲解
Mar 29 Python
python flask开发的简单基金查询工具
Jun 02 Python
Python使用DFA算法过滤内容敏感词
Apr 22 Python
python如何支持并发方法详解
Jul 25 #Python
Python获取浏览器窗口句柄过程解析
Jul 25 #Python
用Python 爬取猫眼电影数据分析《无名之辈》
Jul 24 #Python
基于Python实现简单学生管理系统
Jul 24 #Python
用python实现学生管理系统
Jul 24 #Python
Python 解析简单的XML数据
Jul 24 #Python
深入了解NumPy 高级索引
Jul 24 #Python
You might like
配置最新的PHP加MYSQL服务器
2006/10/09 PHP
phpinfo 系统查看参数函数代码
2009/06/05 PHP
PHP编程最快明白(第一讲 软件环境和准备工作)
2010/10/25 PHP
php数字游戏 计算24算法
2012/06/10 PHP
关于php操作mysql执行数据库查询的一些常用操作汇总
2013/06/24 PHP
PHP连接MySQL数据的操作要点
2015/03/20 PHP
php使用file函数、fseek函数读取大文件效率对比分析
2016/11/04 PHP
php查询内存信息操作示例
2019/05/09 PHP
JavaScript 学习笔记二 字符串拼接
2010/03/28 Javascript
JavaScript 基础篇之运算符、语句(二)
2012/04/07 Javascript
javascript学习笔记(一) 在html中使用javascript
2012/06/18 Javascript
使用jquery hover事件实现表格的隔行换色功能示例
2013/09/03 Javascript
jQuery中$.fn的用法示例介绍
2013/11/05 Javascript
JS实现状态栏跑马灯文字效果代码
2015/10/24 Javascript
JS实现动态给标签控件添加事件的方法示例
2017/05/13 Javascript
微信小程序实现全国机场索引列表
2018/01/31 Javascript
vue mounted组件的使用
2018/06/18 Javascript
webpack 3.X学习之多页面打包的方法
2018/09/04 Javascript
vue+elementUI(el-upload)图片压缩,默认同比例压缩操作
2020/08/10 Javascript
react中hook介绍以及使用教程
2020/12/11 Javascript
[40:01]OG vs Winstrike 2018国际邀请赛小组赛BO2 第一场 8.19
2018/08/21 DOTA
python制作花瓣网美女图片爬虫
2015/10/28 Python
Python中死锁的形成示例及死锁情况的防止
2016/06/14 Python
详解如何用OpenCV + Python 实现人脸识别
2017/10/20 Python
Pyqt5 实现跳转界面并关闭当前界面的方法
2019/06/19 Python
Python基于机器学习方法实现的电影推荐系统实例详解
2019/06/25 Python
Python 切分数组实例解析
2019/11/07 Python
Django+Celery实现动态配置定时任务的方法示例
2020/05/26 Python
python dict乱码如何解决
2020/06/07 Python
Python实现一个优先级队列的方法
2020/07/31 Python
python 图像增强算法实现详解
2021/01/24 Python
机械绘图员岗位职责
2013/11/19 职场文书
2014年学校体育工作总结
2014/12/08 职场文书
2015年幼儿园元旦游艺活动策划书
2014/12/09 职场文书
证劵公司反洗钱宣传活动总结
2015/05/08 职场文书
尝试使用Python爬取城市租房信息
2022/04/12 Python