「译」5 种方法构建安全的 Django Admin

栏目: Python · 发布时间: 7年前

内容简介:「译」5 种方法构建安全的 Django Admin

原文地址

拥有越大权限,往往也就责任也越大。Django Admin 在拥有修改权限的同时应该要更加注意安全。

本文提供了 5 种方法来保护 Django Admin 避免来自认为的错误或者攻击者的攻击。

「译」5 种方法构建安全的 Django Admin

改变 URL

每种框架都有自己的特殊标识,Django 也不例外。经验丰富的开发者、黑客、用户都可以通过查看 Cookie 和 Auth URL 来识别 Django Admin 的站点。

一旦网站被识别出是 Django 构建的,攻击者很有可能尝试从 /admin 登录。

为了增加获取访问权限的难度,推荐把 URL 改成更难猜到的地址。

在 url.py 中修改 admin 的 URL 地址。

urlpatterns += i18n_patterns(
    url(r’^super-secret/’, admin.site.urls, name=’admin’),
)

super-secert 修改成你和你团队可以记住的地址。这就完成了第一步,虽然不是唯一的防御措施,但是确实一个好的开始。

从视觉上区分环境

用户和管理员不可避免的会犯错误。当有多种环境时候可以避免管理员在正式的环境中执行破坏性的操作,你可以有 development、QA、staging、production 等多种不同的环境。

为了减少发生错误的机会,可以在 admin 中清楚的显示不同的环境。

「译」5 种方法构建安全的 Django Admin

首先你需要知道当前的环境是什么。可以在部署期间使用一个名为 ENVIRONMENT_NAME 的环境变量。再添加一个 ENVIRONMENT_COLOR 的环境变量来区分颜色。

将以上两个环境变量添加到 admin 的每个页面中,覆盖原先的基本模板。

# app/templates/admin/base_site.html

{% extends "admin/base_site.html" %}
{% block extrastyle %}
<style type="text/css">
    body:before {
        display: block;
        line-height: 35px;
        text-align: center;
        font-weight: bold;
        text-transform: uppercase;
        color: white;
        content: "{{ ENVIRONMENT_NAME }}";
        background-color: {{ ENVIRONMENT_COLOR }};
    }
</style>
{% endblock %}

settings.py 中获取 ENVIRONMENT 变量,在模板的上下文处理中使用它们。

# app/context_processors.py
from django.conf import settings
def from_settings(request):
    return {
        'ENVIRONMENT_NAME': settings.ENVIRONMENT_NAME,
        'ENVIRONMENT_COLOR': settings.ENVIRONMENT_COLOR,
    }

settings.py 中注册上下文处理器。

TEMPLATES = [{
    …
    'OPTIONS': {
        'context_processors': [
            …
            'app.context_processors.from_settings',
        ],
    …
    },
}]

现在打开 Django admin 时,应该可以看到顶部的指示器。

命名 admin 站点

如果拥有多个 Django 服务,admin 看起来全部是一样的,这很容易导致困惑。为了区分不同的 admin 可以修改标题:

# urls.py

from django.contrib import admin
admin.site.site_header = ‘Awesome Inc. Administration’
admin.site.site_title = ‘Awesome Inc. Administration’

你会看到如下内容:

「译」5 种方法构建安全的 Django Admin

更多的配置可以在文档 中查找。

从主站从分离 Django Admin

使用相同的代码,可以部署 Django 应用程序的两个实例,一个仅用于 admin,一个仅适用于其余的应用程序。

这个是有争议的,不像提示那样容易。实现往往取决于配置(例如,使用 gunicorn 或者 uwsgi),所以不做详细的介绍。

以下可能是想把 Django admin 分离出来的原因:

  • 在 VPN(virtual private network)中部署 Django admin —— 如果 admin 仅在内部使用,同时拥有 VPN,这会是一种很好的做法。
  • 从主站中删除不必要的组件 —— 例如,在 Django admin 中使用了消息框架,但是在主站中没有使用。你可删除这个中间件。另一个认证的例子是,如果主站使用的基于 token 的认证 API 后端,则可以删除大量的模板配置,session 的 middleware 等,也可以删除从请求到响应中不必要的部分。
  • 更强大的身份认证 —— 如果要加强 Django admin 安全性,可能会需要添加不同的身份认证机制。在不同的实例下使用不用配置会更加容易。

把 admin 从主站从分离出来,不干扰内部应用程序。把 admin 掺杂在其中只会是的部署更加复杂,对加强安全性没有好处。

添加双重方式认证(2FA)

双重方式认证现在非常受欢迎,很多网站开始使用这种选项。2FA 基于两种方式认证:

  • 你知道什么 —— 通常是一个密码。
  • 你有什么 —— 通常是移动应用程序每 30 秒生成一个随机数(如 Google 的 Authenticator)。

第一次注册时候通常会要求使用身份认证应用程序扫描某种条码,完成注册后会生成一次性的代码。

通常不推荐使用第三方包,但是在几个月前开始使用django-otp 在 admin 中实现了 2FA。它在 Bitbucket 上托管,所以你可能错过了。

我们可以很方便的使用:

pip install django-otp
pip install qrcode

将 django-otp 添加到已安装的应用程序和中间件中:

# settings.py
INSTALLED_APPS = (
   ...
   ‘django_otp’,
   ‘django_otp.plugins.otp_totp’,
   ...
)
...
MIDDLEWARE = (
   ...
   ‘django.contrib.auth.middleware.AuthenticationMiddleware’,
   ‘django_otp.middleware.OTPMiddleware’,
   ...
)

命名发行人 - 这是用户在认证时候看到的名称,可以通过这个区分。

# settings.py

OTP_TOTP_ISSUER = ‘Awesome Inc.’

将 2FA 身份验证添加到管理站点:

# urls.py

from django_otp.admin import OTPAdminSite
admin.site.__class__ = OTPAdminSite

现在你有如下所示安全的管理页面:

「译」5 种方法构建安全的 Django Admin

需要添加新用户时,从 Django admin 从创建一个「TOTP 设备」。点击完成 QR 链接后,将会看到如下屏幕:

「译」5 种方法构建安全的 Django Admin

可以使用用户的个人认证设备扫描二维码,每个 30 秒回生成一个新的代码。

最后的话

构建一个安全的 Django admin 只需要多多注意,文中的一些提示很容易实现,但是还有很多需要去做的。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

创新者的解答

创新者的解答

【美】克莱顿•克里斯坦森、【加】迈克尔·雷纳 / 中信出版社 / 2013-10-10 / 49.00

《创新者的解答》讲述为了追求创新成长机会,美国电信巨子AT&T在短短10年间,总共耗费了500亿美元。企业为了保持成功记录,会面对成长的压力以达成持续获利的目标。但是如果追求成长的方向出现偏误,后果往往比没有成长更糟。因此,如何创新,并选对正确方向,是每个企业最大的难题。 因此,如何创新,并导向何种方向,便在于创新结果的可预测性─而此可预测性则来自于正确的理论依据。在《创新者的解答》中,两位......一起来看看 《创新者的解答》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码