给Django Admin添加验证码和多次登录尝试限制的实现


Posted in Python onJuly 26, 2020

Django自带的Admin很好用,但是放到生产环境总还差了点什么= =

看看admin的介绍:

Django奉行Python的内置电池哲学。它自带了一系列在Web开发中用于解决常见问题或需求的额外的、可选工具。这些工具和插件,例如django.contrib.redirects都必须在settings中的INSTALLED_APPS处进行注册,有的还需要执行manage.py migrate命令,在数据库中创建一些数据表。

Admin站点是Django有别于其它Web框架最重要的一点,并且非常受欢迎,简直是出门旅游xxxx的必备。不管你是写个小demo还是做个大项目都用得上。admin(下文中将Admin管理后台简称为admin)通过读取你的模型数据,快速构造出一个可以对实际数据进行管理的Web站点,常用于开发测试,简单管理等场合,适用于部门内部为工作方便的场合, 但不建议在生产环境中使用。

为什么不建议在生产环境使用呢,因为Admin缺了验证码和登录限制这种安全方面的功能!等会被人随便暴力破解就进后台了,那我们的系统安全性还怎么保障?

但是别急,我已经通过魔改的方式实现了验证码和登录限制了,现在可以愉快使用admin系统了。

先看看效果

给Django Admin添加验证码和多次登录尝试限制的实现

效果还是nice的,登录尝试次数可以自己设定,我这里就不演示了,输那么多次错误密码太麻烦了。

验证码

验证码我是用了 django-simple-captcha 这个库,配合 multi_captcha_admin 来生成验证码form,非常方便。

首先是pip安装这两个库,大家都懂的,不再赘述。

配置一下 settings.py

INSTALLED_APPS = [
  'multi_captcha_admin',
]
 
# 验证码配置
MULTI_CAPTCHA_ADMIN = {
  'engine': 'simple-captcha',
}

配置 urls.py

# 添加这一项
path('captcha/', include('captcha.urls')),

到了这步就好啦,如果用的是Django官方的Admin就直接能显示出登录的验证码了,不过我用的是第三方的Admin,所以需要手动添加form。

方法很简单,找到 login.html ,在登录的表单里面添加这一项就好了。

{{ form.captcha }}

默认生成的验证码和输入框是原生样式,比较丑~ 我们可以优化一下。我是用js把生成的图片和验证码输入框替换成elementUI的样式,有需要的小伙伴可以参考一下。

var row = document.querySelector('#captcha_group');
 
var captcha_img = document.querySelector('img.captcha');
var col_8 = document.createElement('el-col');
col_8.setAttribute(':span', '8');
col_8.appendChild(captcha_img);
 
var captcha_input = document.querySelector('#id_captcha_1');
var el_input = document.createElement('el-input');
var col_16 = document.createElement('el-col');
col_16.setAttribute(':span', '16');
el_input.setAttribute('name', captcha_input.getAttribute('name'));
el_input.setAttribute('v-model', 'captcha');
el_input.setAttribute('required', 'required');
el_input.setAttribute('placeholder', '请输入验证码');
col_16.appendChild(el_input);
 
captcha_input.parentNode.removeChild(captcha_input);
 
row.appendChild(col_8);
row.appendChild(col_16);

登录限流

这个也不复杂,不过我一开始做还是花了比较长时间,查不到什么有用的资料,后面我去读了Django Admin的代码,一下就想出解决方法了哈哈~

通过admin的代码,我发现处理登录是 admin.site.login(request, extra_context) 这个方法,那问题就变得很简单了,给他加一个装饰器就好了,不过我们不能去修改框架的代码,所以自己写一个新的view,如下:

# 覆盖默认的admin登录方法实现登录限流
@ratelimit(key='ip', rate='5/m', block=True)
def extend_admin_login(request, extra_context=None):
  return admin.site.login(request, extra_context)

然后在 urls.py 里配置一下,记得要放在 admin 的前面:

urlpatterns = [
  path('admin/login/', views.extend_admin_login),
  path('admin/', admin.site.urls),
]

这样就可以实现限流了,这里要介绍一下 ratelimit 这个装饰器,这是django-ratelimit这个包提供的,为了使用这个包,需要配置redis缓存,附上配置代码:

# 配置redis缓存
CACHES = {
  'default': {
    'BACKEND': 'django_redis.cache.RedisCache', # 缓存后端 Redis
    # 连接Redis数据库(服务器地址)
    # 一主带多从(可以配置个Redis,写走第一台,读走其他的机器)
    'LOCATION': [
      'redis://localhost:6379/0',
    ],
    'KEY_PREFIX': 'milky', # 项目名当做文件前缀
    'OPTIONS': {
      'CLIENT_CLASS': 'django_redis.client.DefaultClient', # 连接选项(默认,不改)
      'CONNECTION_POOL_KWARGS': {
        'max_connections': 512, # 连接池的连接(最大连接)
      },
    }
  }
}

@ratelimit(key='ip', rate='5/m', block=True)key=ip 表示根据ip来区分, rate=5/m 表示一分钟最多请求这个接口5次, block=true 表示超过这个限制就直接拦截,如果没有设置block参数的话,超过限制也不会拦截,但是可以在ratelimit计数器里面看到请求的次数。

更多用法可以看官方文档: https://django-ratelimit.readthedocs.io/en/stable/index.html

参考资料

https://github.com/a-roomana/django-multi-captcha-admin

https://django-simple-captcha.readthedocs.io/en/latest/advanced.html#rendering

到此这篇关于给Django Admin添加验证码和多次登录尝试限制的实现的文章就介绍到这了,更多相关Django Admin验证码和登录限制内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Python 相关文章推荐
python实现问号表达式(?)的方法
Nov 27 Python
Python+MongoDB自增键值的简单实现
Nov 04 Python
ubuntu系统下 python链接mysql数据库的方法
Jan 09 Python
python opencv设置摄像头分辨率以及各个参数的方法
Apr 02 Python
python 日期操作类代码
May 05 Python
Python玩转加密的技巧【推荐】
May 13 Python
python3+PyQt5 数据库编程--增删改实例
Jun 17 Python
python+selenium select下拉选择框定位处理方法
Aug 24 Python
Spring @Enable模块驱动原理及使用实例
Jun 23 Python
Pycharm编辑器功能之代码折叠效果的实现代码
Oct 15 Python
python3通过subprocess模块调用脚本并和脚本交互的操作
Dec 05 Python
Python编解码问题及文本文件处理方法详解
Jun 20 Python
python如何支持并发方法详解
Jul 25 #Python
Python获取浏览器窗口句柄过程解析
Jul 25 #Python
用Python 爬取猫眼电影数据分析《无名之辈》
Jul 24 #Python
基于Python实现简单学生管理系统
Jul 24 #Python
用python实现学生管理系统
Jul 24 #Python
Python 解析简单的XML数据
Jul 24 #Python
深入了解NumPy 高级索引
Jul 24 #Python
You might like
php中获取指定IP的物理地址的代码(正则表达式)
2011/06/23 PHP
浅谈php中变量的数据类型判断函数
2017/03/04 PHP
Jquery拖拽并简单保存的实现代码
2010/11/28 Javascript
关于innerHTML后丢失动态绑定的EVENT问题解决方法
2013/05/19 Javascript
文本框只能选择数据到文本框禁止手动输入
2013/11/22 Javascript
javascript面向对象之对象的深入理解
2015/01/13 Javascript
JavaScript生成随机数的4种自定义函数分享
2015/02/28 Javascript
bootstrap导航、选项卡实现代码
2016/12/28 Javascript
jQuery Ajax实现跨域请求
2017/01/21 Javascript
Bootstrap实现可折叠分组侧边导航菜单
2018/03/07 Javascript
vue项目动态设置页面title及是否缓存页面的问题
2018/11/08 Javascript
详解在Angular4中使用ng2-baidu-map的方法
2019/06/19 Javascript
js实现图片跟随鼠标移动效果
2019/10/16 Javascript
python中dir函数用法分析
2015/04/17 Python
python引用DLL文件的方法
2015/05/11 Python
python3实现UDP协议的服务器和客户端
2017/06/14 Python
关于Python如何避免循环导入问题详解
2017/09/14 Python
详解Python如何生成词云的方法
2018/06/01 Python
python实现泊松图像融合
2018/07/26 Python
Python字典的基本用法实例分析【创建、增加、获取、修改、删除】
2019/03/05 Python
搞定这套Python爬虫面试题(面试会so easy)
2019/04/03 Python
ubuntu 16.04下python版本切换的方法
2019/06/14 Python
pyhton中__pycache__文件夹的产生与作用详解
2019/11/24 Python
Pytorch.nn.conv2d 过程验证方式(单,多通道卷积过程)
2020/01/03 Python
解决pyCharm中 module 调用失败的问题
2020/02/12 Python
H5 canvas实现贪吃蛇小游戏
2017/07/28 HTML / CSS
机械设计职业生涯规划书
2013/12/27 职场文书
消防先进事迹材料
2014/02/10 职场文书
预备党员2014全国两会学习心得体会
2014/03/10 职场文书
教师产假请假条范文
2014/04/10 职场文书
教师暑期培训感言
2014/08/15 职场文书
毕业欢送晚会主持词
2019/06/25 职场文书
《学会生存》读后感3篇
2019/12/09 职场文书
浅谈JS的原型和原型链
2021/06/04 Javascript
SQL实现LeetCode(176.第二高薪水)
2021/08/04 MySQL
Python获取字典中某个key的value
2022/04/13 Python