给Django Admin添加验证码和多次登录尝试限制的实现


Posted in Python onJuly 26, 2020

Django自带的Admin很好用,但是放到生产环境总还差了点什么= =

看看admin的介绍:

Django奉行Python的内置电池哲学。它自带了一系列在Web开发中用于解决常见问题或需求的额外的、可选工具。这些工具和插件,例如django.contrib.redirects都必须在settings中的INSTALLED_APPS处进行注册,有的还需要执行manage.py migrate命令,在数据库中创建一些数据表。

Admin站点是Django有别于其它Web框架最重要的一点,并且非常受欢迎,简直是出门旅游xxxx的必备。不管你是写个小demo还是做个大项目都用得上。admin(下文中将Admin管理后台简称为admin)通过读取你的模型数据,快速构造出一个可以对实际数据进行管理的Web站点,常用于开发测试,简单管理等场合,适用于部门内部为工作方便的场合, 但不建议在生产环境中使用。

为什么不建议在生产环境使用呢,因为Admin缺了验证码和登录限制这种安全方面的功能!等会被人随便暴力破解就进后台了,那我们的系统安全性还怎么保障?

但是别急,我已经通过魔改的方式实现了验证码和登录限制了,现在可以愉快使用admin系统了。

先看看效果

给Django Admin添加验证码和多次登录尝试限制的实现

效果还是nice的,登录尝试次数可以自己设定,我这里就不演示了,输那么多次错误密码太麻烦了。

验证码

验证码我是用了 django-simple-captcha 这个库,配合 multi_captcha_admin 来生成验证码form,非常方便。

首先是pip安装这两个库,大家都懂的,不再赘述。

配置一下 settings.py

INSTALLED_APPS = [
  'multi_captcha_admin',
]
 
# 验证码配置
MULTI_CAPTCHA_ADMIN = {
  'engine': 'simple-captcha',
}

配置 urls.py

# 添加这一项
path('captcha/', include('captcha.urls')),

到了这步就好啦,如果用的是Django官方的Admin就直接能显示出登录的验证码了,不过我用的是第三方的Admin,所以需要手动添加form。

方法很简单,找到 login.html ,在登录的表单里面添加这一项就好了。

{{ form.captcha }}

默认生成的验证码和输入框是原生样式,比较丑~ 我们可以优化一下。我是用js把生成的图片和验证码输入框替换成elementUI的样式,有需要的小伙伴可以参考一下。

var row = document.querySelector('#captcha_group');
 
var captcha_img = document.querySelector('img.captcha');
var col_8 = document.createElement('el-col');
col_8.setAttribute(':span', '8');
col_8.appendChild(captcha_img);
 
var captcha_input = document.querySelector('#id_captcha_1');
var el_input = document.createElement('el-input');
var col_16 = document.createElement('el-col');
col_16.setAttribute(':span', '16');
el_input.setAttribute('name', captcha_input.getAttribute('name'));
el_input.setAttribute('v-model', 'captcha');
el_input.setAttribute('required', 'required');
el_input.setAttribute('placeholder', '请输入验证码');
col_16.appendChild(el_input);
 
captcha_input.parentNode.removeChild(captcha_input);
 
row.appendChild(col_8);
row.appendChild(col_16);

登录限流

这个也不复杂,不过我一开始做还是花了比较长时间,查不到什么有用的资料,后面我去读了Django Admin的代码,一下就想出解决方法了哈哈~

通过admin的代码,我发现处理登录是 admin.site.login(request, extra_context) 这个方法,那问题就变得很简单了,给他加一个装饰器就好了,不过我们不能去修改框架的代码,所以自己写一个新的view,如下:

# 覆盖默认的admin登录方法实现登录限流
@ratelimit(key='ip', rate='5/m', block=True)
def extend_admin_login(request, extra_context=None):
  return admin.site.login(request, extra_context)

然后在 urls.py 里配置一下,记得要放在 admin 的前面:

urlpatterns = [
  path('admin/login/', views.extend_admin_login),
  path('admin/', admin.site.urls),
]

这样就可以实现限流了,这里要介绍一下 ratelimit 这个装饰器,这是django-ratelimit这个包提供的,为了使用这个包,需要配置redis缓存,附上配置代码:

# 配置redis缓存
CACHES = {
  'default': {
    'BACKEND': 'django_redis.cache.RedisCache', # 缓存后端 Redis
    # 连接Redis数据库(服务器地址)
    # 一主带多从(可以配置个Redis,写走第一台,读走其他的机器)
    'LOCATION': [
      'redis://localhost:6379/0',
    ],
    'KEY_PREFIX': 'milky', # 项目名当做文件前缀
    'OPTIONS': {
      'CLIENT_CLASS': 'django_redis.client.DefaultClient', # 连接选项(默认,不改)
      'CONNECTION_POOL_KWARGS': {
        'max_connections': 512, # 连接池的连接(最大连接)
      },
    }
  }
}

@ratelimit(key='ip', rate='5/m', block=True)key=ip 表示根据ip来区分, rate=5/m 表示一分钟最多请求这个接口5次, block=true 表示超过这个限制就直接拦截,如果没有设置block参数的话,超过限制也不会拦截,但是可以在ratelimit计数器里面看到请求的次数。

更多用法可以看官方文档: https://django-ratelimit.readthedocs.io/en/stable/index.html

参考资料

https://github.com/a-roomana/django-multi-captcha-admin

https://django-simple-captcha.readthedocs.io/en/latest/advanced.html#rendering

到此这篇关于给Django Admin添加验证码和多次登录尝试限制的实现的文章就介绍到这了,更多相关Django Admin验证码和登录限制内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Python 相关文章推荐
浅谈python中scipy.misc.logsumexp函数的运用场景
Jun 23 Python
Python selenium 三种等待方式详解(必会)
Sep 15 Python
Python 包含汉字的文件读写之每行末尾加上特定字符
Dec 12 Python
代码分析Python地图坐标转换
Feb 08 Python
基于python实现名片管理系统
Nov 30 Python
python如何从文件读取数据及解析
Sep 19 Python
Django 解决distinct无法去除重复数据的问题
May 20 Python
Spring @Enable模块驱动原理及使用实例
Jun 23 Python
如何基于Python爬取隐秘的角落评论
Jul 02 Python
Python通过format函数格式化显示值
Oct 17 Python
Django使用django-simple-captcha做验证码的实现示例
Jan 07 Python
pytorch锁死在dataloader(训练时卡死)
May 28 Python
python如何支持并发方法详解
Jul 25 #Python
Python获取浏览器窗口句柄过程解析
Jul 25 #Python
用Python 爬取猫眼电影数据分析《无名之辈》
Jul 24 #Python
基于Python实现简单学生管理系统
Jul 24 #Python
用python实现学生管理系统
Jul 24 #Python
Python 解析简单的XML数据
Jul 24 #Python
深入了解NumPy 高级索引
Jul 24 #Python
You might like
PHP数字格式化
2006/12/06 PHP
Discuz! Passport 通行证整合
2008/03/27 PHP
php数组(array)输出的三种形式详解
2013/06/05 PHP
关于查看MSSQL 数据库 用户每个表 占用的空间大小
2013/06/21 PHP
使用PHPExcel操作Excel用法实例分析
2015/03/26 PHP
Javascript注入技巧
2007/06/22 Javascript
jQuery1.3.2 升级到jQuery1.4.4需要修改的地方
2011/01/06 Javascript
JavaScript跨浏览器获取页面中相同class节点的方法
2015/03/03 Javascript
JS简单生成两个数字之间随机数的方法
2016/08/03 Javascript
js 获取元素所有兄弟节点的实现方法
2016/09/06 Javascript
基于node.js express mvc轻量级框架实践
2017/09/14 Javascript
基于VUE移动音乐WEBAPP跨域请求失败的解决方法
2018/01/16 Javascript
使用Object.defineProperty如何巧妙找到修改某个变量的准确代码位置
2018/11/02 Javascript
简单了解vue中的v-if和v-show的区别
2019/10/08 Javascript
python 控制语句
2011/11/03 Python
Python易忽视知识点小结
2015/05/25 Python
python使用正则表达式提取网页URL的方法
2015/05/26 Python
Python函数式编程指南(三):迭代器详解
2015/06/24 Python
python用opencv批量截取图像指定区域的方法
2019/01/24 Python
Python的缺点和劣势分析
2019/11/19 Python
通过python调用adb命令对App进行性能测试方式
2020/04/23 Python
无需压缩软件,用python帮你操作压缩包
2020/08/17 Python
通过代码实例解析Pytest运行流程
2020/08/20 Python
Python 无限级分类树状结构生成算法的实现
2021/01/21 Python
matplotlib之pyplot模块坐标轴标签设置使用(xlabel()、ylabel())
2021/02/22 Python
html5手机键盘弹出收起的处理
2020/01/20 HTML / CSS
波兰运动鞋网上商店:e-Sporting
2018/02/16 全球购物
KARATOV珠宝在线商店:俄罗斯珠宝品牌
2019/03/13 全球购物
美国唇部护理专家:Sara Happ
2019/06/19 全球购物
LG西班牙网上商店:Tienda LG Online Es
2019/07/30 全球购物
英国最大的割草机购买网站:Just Lawnmowers
2019/11/02 全球购物
环境工程大学生自荐信
2013/10/21 职场文书
2014年电厂工作总结
2014/12/04 职场文书
2015年小学教科研工作总结
2015/07/20 职场文书
React四级菜单的实现
2022/04/08 Javascript
Python 操作pdf pdfplumber读取PDF写入Exce
2022/08/14 Python