给Django Admin添加验证码和多次登录尝试限制的实

1. 简介

Django是一个流行的Python Web框架，具有强大的后台管理界面Django Admin。然而，对于一些敏感的应用或者对安全性有较高要求的项目，简单的用户名和密码登录可能不足以提供足够的安全性保障。因此，在Django Admin中添加验证码和多次登录尝试限制功能是一种常见的做法，可以有效防止恶意登录和密码撞库攻击。

2. 添加验证码

2.1 安装所需库

首先，我们需要安装一些额外的库以支持验证码功能。我们可以使用Django自带的django-simple-captcha库来实现验证码功能。

pip install django-simple-captcha

在Django的settings.py文件中添加以下配置：

# settings.py

INSTALLED_APPS = [
    ...
    'captcha',
    ...
]
CAPTCHA_LENGTH = 4
CAPTCHA_TIMEOUT = 5  # 验证码过期时间，单位分钟
# 设置验证码图片存储路径
CAPTCHA_IMAGE_OUTPUT_FORMAT = 'captcha/%Y/%m/%d/'

2.2 添加验证码字段

接下来，我们需要在用户登录页面中添加验证码字段。在Django中，可以通过自定义表单的方式来实现这一功能。

# forms.py

from django import forms
from captcha.fields import CaptchaField
class LoginForm(forms.Form):
    username = forms.CharField(label='用户名', max_length=100)
    password = forms.CharField(label='密码', widget=forms.PasswordInput)
    captcha = CaptchaField(label='验证码')

2.3 在登录页面中显示验证码

在用户登录页面中展示验证码，可以使用Django Admin提供的自定义模板功能。

# admin.py

from django.contrib import admin
from django.contrib.auth.admin import UserAdmin
from django.contrib.auth.forms import AdminAuthenticationForm
class MyAdminAuthenticationForm(AdminAuthenticationForm):
    def __init__(self, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.fields['captcha'] = CaptchaField(label='验证码')
admin.site.login_form = MyAdminAuthenticationForm

通过以上步骤，我们成功地在Django Admin的登录页面中添加了验证码字段，并且验证码图片会在每次刷新页面时生成一个新的。

3. 多次登录尝试限制

3.1 安装所需库

在实现多次登录尝试限制之前，我们需要安装一个用于记录登录尝试次数和锁定用户的库。我们可以使用Django自带的django-axes库来实现这一功能。

pip install django-axes

在Django的settings.py文件中添加以下配置：

# settings.py

INSTALLED_APPS = [
    ...
    'axes',
    ...
]
AXES_LOGIN_FAILURE_LIMIT = 5   # 登录尝试次数限制
AXES_LOCK_OUT_AT_FAILURE = True   # 达到登录尝试次数限制后是否锁定用户
AXES_LOCKOUT_TEMPLATE = 'axes/lockout.html'   # 锁定用户的模板

3.2 自定义锁定用户的模板

为了能够友好地提示用户被锁定的信息，我们需要自定义一个模板用于展示锁定用户的页面。

# lockout.html

{% extends 'admin/login.html' %}
{% block content %}
  
登录失败次数过多
  您的账户已被锁定，请联系管理员解锁。
{% endblock %}

3.3 配置登录尝试限制

在Django Admin的登录页面，我们可以通过配置Axes来限制登录尝试次数和锁定用户的逻辑。

# admin.py

from django.contrib import admin
from axes.decorators import axes_dispatch
admin.site.login_form = axes_dispatch(AdminAuthenticationForm)

通过以上步骤，我们成功地在Django Admin中实现了多次登录尝试限制的功能。当用户登录失败次数超过设置的限制次数后，用户将会被锁定，并且跳转到自定义的锁定页面。

4. 总结

通过本文的介绍，我们学习了如何在Django Admin中添加验证码和多次登录尝试限制功能。这些安全功能可以有效防止恶意登录和密码撞库攻击，提高系统的安全性。

在实际开发中，我们可以根据项目需求进一步定制和优化这些功能，并结合其他安全措施，保护敏感的管理页面和用户数据。