給Django Admin新增驗證碼和多次登入嘗試限制

畫星星高手發表於2020-07-25

Django自帶的Admin很好用,但是放到生產環境總還差了點什麼= =

看看admin的介紹:

Django奉行Python的內建電池哲學。它自帶了一系列在Web開發中用於解決常見問題或需求的額外的、可選工具。這些工具和外掛,例如django.contrib.redirects都必須在settings中的INSTALLED_APPS處進行註冊,有的還需要執行manage.py migrate命令,在資料庫中建立一些資料表。

Admin站點是Django有別於其它Web框架最重要的一點,並且非常受歡迎,簡直是出門旅遊xxxx的必備。不管你是寫個小demo還是做個大專案都用得上。admin(下文中將Admin管理後臺簡稱為admin)通過讀取你的模型資料,快速構造出一個可以對實際資料進行管理的Web站點,常用於開發測試,簡單管理等場合,適用於部門內部為工作方便的場合,但不建議在生產環境中使用。

為什麼不建議在生產環境使用呢,因為Admin缺了驗證碼和登入限制這種安全方面的功能!等會被人隨便暴力破解就進後臺了,那我們的系統安全性還怎麼保障?

但是別急,我已經通過魔改的方式實現了驗證碼和登入限制了,現在可以愉快使用admin系統了。

先看看效果

效果還是nice的,登入嘗試次數可以自己設定,我這裡就不演示了,輸那麼多次錯誤密碼太麻煩了。

驗證碼

驗證碼我是用了django-simple-captcha這個庫,配合multi_captcha_admin來生成驗證碼form,非常方便。

首先是pip安裝這兩個庫,大家都懂的,不再贅述。

配置一下 settings.py

INSTALLED_APPS = [
    'multi_captcha_admin',
]

# 驗證碼配置
MULTI_CAPTCHA_ADMIN = {
    'engine': 'simple-captcha',
}

配置 urls.py

# 新增這一項
path('captcha/', include('captcha.urls')),

到了這步就好啦,如果用的是Django官方的Admin就直接能顯示出登入的驗證碼了,不過我用的是第三方的Admin,所以需要手動新增form。

方法很簡單,找到login.html,在登入的表單裡面新增這一項就好了。

{{ form.captcha }}

預設生成的驗證碼和輸入框是原生樣式,比較醜~ 我們可以優化一下。我是用js把生成的圖片和驗證碼輸入框替換成elementUI的樣式,有需要的小夥伴可以參考一下。

var row = document.querySelector('#captcha_group');

var captcha_img = document.querySelector('img.captcha');
var col_8 = document.createElement('el-col');
col_8.setAttribute(':span', '8');
col_8.appendChild(captcha_img);

var captcha_input = document.querySelector('#id_captcha_1');
var el_input = document.createElement('el-input');
var col_16 = document.createElement('el-col');
col_16.setAttribute(':span', '16');
el_input.setAttribute('name', captcha_input.getAttribute('name'));
el_input.setAttribute('v-model', 'captcha');
el_input.setAttribute('required', 'required');
el_input.setAttribute('placeholder', '請輸入驗證碼');
col_16.appendChild(el_input);

captcha_input.parentNode.removeChild(captcha_input);

row.appendChild(col_8);
row.appendChild(col_16);

登入限流

這個也不復雜,不過我一開始做還是花了比較長時間,查不到什麼有用的資料,後面我去讀了Django Admin的程式碼,一下就想出解決方法了哈哈~

通過admin的程式碼,我發現處理登入是admin.site.login(request, extra_context)這個方法,那問題就變得很簡單了,給他加一個裝飾器就好了,不過我們不能去修改框架的程式碼,所以自己寫一個新的view,如下:

# 覆蓋預設的admin登入方法實現登入限流
@ratelimit(key='ip', rate='5/m', block=True)
def extend_admin_login(request, extra_context=None):
    return admin.site.login(request, extra_context)

然後在urls.py裡配置一下,記得要放在admin的前面:

urlpatterns = [
    path('admin/login/', views.extend_admin_login),
    path('admin/', admin.site.urls),
]

這樣就可以實現限流了,這裡要介紹一下ratelimit這個裝飾器,這是django-ratelimit這個包提供的,為了使用這個包,需要配置redis快取,附上配置程式碼:

# 配置redis快取
CACHES = {
    'default': {
        'BACKEND': 'django_redis.cache.RedisCache',  # 快取後端 Redis
        # 連線Redis資料庫(伺服器地址)
        # 一主帶多從(可以配置個Redis,寫走第一臺,讀走其他的機器)
        'LOCATION': [
            'redis://localhost:6379/0',
        ],
        'KEY_PREFIX': 'milky',  # 專案名當做檔案字首
        'OPTIONS': {
            'CLIENT_CLASS': 'django_redis.client.DefaultClient',  # 連線選項(預設,不改)
            'CONNECTION_POOL_KWARGS': {
                'max_connections': 512,  # 連線池的連線(最大連線)
            },
        }
    }
}

@ratelimit(key='ip', rate='5/m', block=True)key=ip表示根據ip來區分,rate=5/m表示一分鐘最多請求這個介面5次,block=true表示超過這個限制就直接攔截,如果沒有設定block引數的話,超過限制也不會攔截,但是可以在ratelimit計數器裡面看到請求的次數。

更多用法可以看官方文件:https://django-ratelimit.readthedocs.io/en/stable/index.html

參考資料

歡迎交流

我整理了一系列的技術文章和資料,在公眾號「程式設計實驗室」後臺回覆 linux、flutter、c#、netcore、android、java、python 等可獲取相關技術文章和資料,同時有任何問題都可以在公眾號後臺留言~

相關文章