给Django Admin添加验证码和多次登录尝试限制的实现


Posted in Python onJuly 26, 2020

Django自带的Admin很好用,但是放到生产环境总还差了点什么= =

看看admin的介绍:

Django奉行Python的内置电池哲学。它自带了一系列在Web开发中用于解决常见问题或需求的额外的、可选工具。这些工具和插件,例如django.contrib.redirects都必须在settings中的INSTALLED_APPS处进行注册,有的还需要执行manage.py migrate命令,在数据库中创建一些数据表。

Admin站点是Django有别于其它Web框架最重要的一点,并且非常受欢迎,简直是出门旅游xxxx的必备。不管你是写个小demo还是做个大项目都用得上。admin(下文中将Admin管理后台简称为admin)通过读取你的模型数据,快速构造出一个可以对实际数据进行管理的Web站点,常用于开发测试,简单管理等场合,适用于部门内部为工作方便的场合, 但不建议在生产环境中使用。

为什么不建议在生产环境使用呢,因为Admin缺了验证码和登录限制这种安全方面的功能!等会被人随便暴力破解就进后台了,那我们的系统安全性还怎么保障?

但是别急,我已经通过魔改的方式实现了验证码和登录限制了,现在可以愉快使用admin系统了。

先看看效果

给Django Admin添加验证码和多次登录尝试限制的实现

效果还是nice的,登录尝试次数可以自己设定,我这里就不演示了,输那么多次错误密码太麻烦了。

验证码

验证码我是用了 django-simple-captcha 这个库,配合 multi_captcha_admin 来生成验证码form,非常方便。

首先是pip安装这两个库,大家都懂的,不再赘述。

配置一下 settings.py

INSTALLED_APPS = [
  'multi_captcha_admin',
]
 
# 验证码配置
MULTI_CAPTCHA_ADMIN = {
  'engine': 'simple-captcha',
}

配置 urls.py

# 添加这一项
path('captcha/', include('captcha.urls')),

到了这步就好啦,如果用的是Django官方的Admin就直接能显示出登录的验证码了,不过我用的是第三方的Admin,所以需要手动添加form。

方法很简单,找到 login.html ,在登录的表单里面添加这一项就好了。

{{ form.captcha }}

默认生成的验证码和输入框是原生样式,比较丑~ 我们可以优化一下。我是用js把生成的图片和验证码输入框替换成elementUI的样式,有需要的小伙伴可以参考一下。

var row = document.querySelector('#captcha_group');
 
var captcha_img = document.querySelector('img.captcha');
var col_8 = document.createElement('el-col');
col_8.setAttribute(':span', '8');
col_8.appendChild(captcha_img);
 
var captcha_input = document.querySelector('#id_captcha_1');
var el_input = document.createElement('el-input');
var col_16 = document.createElement('el-col');
col_16.setAttribute(':span', '16');
el_input.setAttribute('name', captcha_input.getAttribute('name'));
el_input.setAttribute('v-model', 'captcha');
el_input.setAttribute('required', 'required');
el_input.setAttribute('placeholder', '请输入验证码');
col_16.appendChild(el_input);
 
captcha_input.parentNode.removeChild(captcha_input);
 
row.appendChild(col_8);
row.appendChild(col_16);

登录限流

这个也不复杂,不过我一开始做还是花了比较长时间,查不到什么有用的资料,后面我去读了Django Admin的代码,一下就想出解决方法了哈哈~

通过admin的代码,我发现处理登录是 admin.site.login(request, extra_context) 这个方法,那问题就变得很简单了,给他加一个装饰器就好了,不过我们不能去修改框架的代码,所以自己写一个新的view,如下:

# 覆盖默认的admin登录方法实现登录限流
@ratelimit(key='ip', rate='5/m', block=True)
def extend_admin_login(request, extra_context=None):
  return admin.site.login(request, extra_context)

然后在 urls.py 里配置一下,记得要放在 admin 的前面:

urlpatterns = [
  path('admin/login/', views.extend_admin_login),
  path('admin/', admin.site.urls),
]

这样就可以实现限流了,这里要介绍一下 ratelimit 这个装饰器,这是django-ratelimit这个包提供的,为了使用这个包,需要配置redis缓存,附上配置代码:

# 配置redis缓存
CACHES = {
  'default': {
    'BACKEND': 'django_redis.cache.RedisCache', # 缓存后端 Redis
    # 连接Redis数据库(服务器地址)
    # 一主带多从(可以配置个Redis,写走第一台,读走其他的机器)
    'LOCATION': [
      'redis://localhost:6379/0',
    ],
    'KEY_PREFIX': 'milky', # 项目名当做文件前缀
    'OPTIONS': {
      'CLIENT_CLASS': 'django_redis.client.DefaultClient', # 连接选项(默认,不改)
      'CONNECTION_POOL_KWARGS': {
        'max_connections': 512, # 连接池的连接(最大连接)
      },
    }
  }
}

@ratelimit(key='ip', rate='5/m', block=True)key=ip 表示根据ip来区分, rate=5/m 表示一分钟最多请求这个接口5次, block=true 表示超过这个限制就直接拦截,如果没有设置block参数的话,超过限制也不会拦截,但是可以在ratelimit计数器里面看到请求的次数。

更多用法可以看官方文档: https://django-ratelimit.readthedocs.io/en/stable/index.html

参考资料

https://github.com/a-roomana/django-multi-captcha-admin

https://django-simple-captcha.readthedocs.io/en/latest/advanced.html#rendering

到此这篇关于给Django Admin添加验证码和多次登录尝试限制的实现的文章就介绍到这了,更多相关Django Admin验证码和登录限制内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Python 相关文章推荐
python应用程序在windows下不出现cmd窗口的办法
May 29 Python
python使用marshal模块序列化实例
Sep 25 Python
Python批量转换文件编码格式
May 17 Python
使用FastCGI部署Python的Django应用的教程
Jul 22 Python
Python 爬虫多线程详解及实例代码
Oct 08 Python
Python heapq使用详解及实例代码
Jan 25 Python
Python及Django框架生成二维码的方法分析
Jan 31 Python
python实现linux下抓包并存库功能
Jul 18 Python
两个元祖T1=('a', 'b'),T2=('c', 'd')使用匿名函数将其转变成[{'a': 'c'},{'b': 'd'}]的几种方法
Mar 05 Python
python 自定义装饰器实例详解
Jul 20 Python
python基于tkinter实现gif录屏功能
May 19 Python
virtualenv隔离Python环境的问题解析
Jun 21 Python
python如何支持并发方法详解
Jul 25 #Python
Python获取浏览器窗口句柄过程解析
Jul 25 #Python
用Python 爬取猫眼电影数据分析《无名之辈》
Jul 24 #Python
基于Python实现简单学生管理系统
Jul 24 #Python
用python实现学生管理系统
Jul 24 #Python
Python 解析简单的XML数据
Jul 24 #Python
深入了解NumPy 高级索引
Jul 24 #Python
You might like
PHP+javascript液晶时钟
2006/10/09 PHP
比file_get_contents稳定的curl_get_contents分享
2012/01/11 PHP
php字符串按照单词进行反转的方法
2015/03/14 PHP
深入学习微信网址链接解封的防封原理visit_type
2019/08/15 PHP
js 屏蔽鼠标右键脚本附破解方法
2009/12/03 Javascript
使用JavaScript动态设置样式实现代码(2)
2013/01/25 Javascript
JS localStorage实现本地缓存的方法
2013/06/22 Javascript
javascript中的throttle和debounce浅析
2014/06/06 Javascript
jquery+json实现分页效果
2016/03/07 Javascript
JS实现点击网页判断是否安装app并打开否则跳转app store
2016/11/18 Javascript
canvas实现钟表效果
2017/02/13 Javascript
jQuery实现动态添加、删除按钮及input输入框的方法
2017/04/27 jQuery
利用JS实现scroll自定义滚动效果详解
2017/10/17 Javascript
JS滚轮控制图片缩放大小和拖动的实例代码
2018/11/20 Javascript
微信小程序下拉刷新PullDownRefresh的使用方法
2018/11/29 Javascript
微信公众号网页分享功能开发的示例代码
2020/05/27 Javascript
跟老齐学Python之list和str比较
2014/09/20 Python
Python3中的2to3转换工具使用示例
2015/06/12 Python
python实现在windows服务中新建进程的方法
2015/06/30 Python
django模板加载静态文件的方法步骤
2019/03/01 Python
4行Python代码生成图像验证码(2种)
2020/04/07 Python
超酷炫 CSS3垂直手风琴菜单
2016/06/28 HTML / CSS
世界上最大的铁人三项商店:Tri UK
2020/11/04 全球购物
什么是事务?为什么需要事务?
2012/01/09 面试题
个人思想理论学习的自我鉴定
2013/11/30 职场文书
厨房管理计划书
2014/04/27 职场文书
关于雷锋的演讲稿
2014/05/10 职场文书
2014年创先争优工作总结
2014/12/11 职场文书
酒店收银员岗位职责
2015/04/07 职场文书
硕士毕业答辩开场白
2015/05/27 职场文书
阿凡达观后感
2015/06/10 职场文书
2015年小学生暑假总结
2015/07/13 职场文书
Nginx反向代理及负载均衡如何实现(基于linux)
2021/03/31 Servers
详解RedisTemplate下Redis分布式锁引发的系列问题
2021/04/27 Redis
MySQL中B树索引和B+树索引的区别详解
2022/03/03 MySQL
Python first-order-model实现让照片动起来
2022/06/25 Python