5 种方法构建安全的 Django Admin

于 2018-04-25 21:19:07 发布
阅读量500 收藏
点赞数
分类专栏: 安全 文章标签: Django

点击关注 异步图书,置顶公众号

每天与你分享 IT好书 技术干货 职场知识

​​拥有越大权限,往往也就责任也越大。Django Admin 在拥有修改权限的同时应该要更加注意安全。

本文提供了 5 种方法来保护 Django Admin 避免来自认为的错误或者攻击者的攻击。

改变 URL

每种框架都有自己的特殊标识,Django 也不例外。经验丰富的开发者、黑客、用户都可以通过查看 Cookie 和 Auth URL 来识别 Django Admin 的站点。

一旦网站被识别出是 Django 构建的,攻击者很有可能尝试从 /admin 登录。

为了增加获取访问权限的难度,推荐把 URL 改成更难猜到的地址。

在 url.py 中修改 admin 的 URL 地址。

​把 super-secert 修改成你和你团队可以记住的地址。这就完成了第一步,虽然不是唯一的防御措施,但是确实一个好的开始。

从视觉上区分环境

用户和管理员不可避免的会犯错误。当有多种环境时候可以避免管理员在正式的环境中执行破坏性的操作,你可以有 development、QA、staging、production 等多种不同的环境。

为了减少发生错误的机会,可以在 admin 中清楚的显示不同的环境。

首先你需要知道当前的环境是什么。可以在部署期间使用一个名为 ENVIRONMENT_NAME 的环境变量。再添加一个 ENVIRONMENT_COLOR 的环境变量来区分颜色。

将以上两个环境变量添加到 admin 的每个页面中,覆盖原先的基本模板。

​从 settings.py 中获取 ENVIRONMENT 变量,在模板的上下文处理中使用它们。

​在 settings.py 中注册上下文处理器。

​现在打开 Django admin 时,应该可以看到顶部的指示器。

命名 admin 站点

如果拥有多个 Django 服务,admin 看起来全部是一样的,这很容易导致困惑。为了区分不同的 admin 可以修改标题:

​你会看到如下内容:

更多的配置可以在 文档 中查找。

从主站从分离 Django Admin

使用相同的代码,可以部署 Django 应用程序的两个实例,一个仅用于 admin,一个仅适用于其余的应用程序。

这个是有争议的,不像提示那样容易。实现往往取决于配置(例如,使用 gunicorn 或者 uwsgi),所以不做详细的介绍。

以下可能是想把 Django admin 分离出来的原因:

在 VPN(virtual private network)中部署 Django admin —— 如果 admin 仅在内部使用,同时拥有 VPN,这会是一种很好的做法。

从主站中删除不必要的组件 —— 例如,在 Django admin 中使用了消息框架,但是在主站中没有使用。你可删除这个中间件。另一个认证的例子是,如果主站使用的基于 token 的认证 API 后端,则可以删除大量的模板配置,session 的 middleware 等,也可以删除从请求到响应中不必要的部分。

更强大的身份认证 —— 如果要加强 Django admin 安全性,可能会需要添加不同的身份认证机制。在不同的实例下使用不用配置会更加容易。

把 admin 从主站从分离出来,不干扰内部应用程序。把 admin 掺杂在其中只会是的部署更加复杂,对加强安全性没有好处。

添加双重方式认证(2FA)

双重方式认证现在非常受欢迎,很多网站开始使用这种选项。2FA 基于两种方式认证:

你知道什么 —— 通常是一个密码。

你有什么 —— 通常是移动应用程序每 30 秒生成一个随机数(如 Google 的 Authenticator)。

第一次注册时候通常会要求使用身份认证应用程序扫描某种条码,完成注册后会生成一次性的代码。

通常不推荐使用第三方包,但是在几个月前开始使用 django-otp 在 admin 中实现了 2FA。它在 Bitbucket 上托管,所以你可能错过了。

我们可以很方便的使用:

​将 django-otp 添加到已安装的应用程序和中间件中:

​命名发行人 - 这是用户在认证时候看到的名称,可以通过这个区分。

​将 2FA 身份验证添加到管理站点:

​现在你有如下所示安全的管理页面:

需要添加新用户时,从 Django admin 从创建一个「TOTP 设备」。点击完成 QR 链接后,将会看到如下屏幕:

可以使用用户的个人认证设备扫描二维码,每个 30 秒回生成一个新的代码。

最后的话

构建一个安全的 Django admin 只需要多多注意,文中的一些提示很容易实现,但是还有很多需要去做的。

异步社区是一个有料、有货,又专业的IT专业图书社区,在这里可以读到最新、最热的IT类图书!
我想要社区的《奔跑吧 Linux内核》这本书,这本书把枯燥的内核讲的通俗易懂还有配套视频,请大家帮我点赞!


本文来源于,异步社区,作者: z正小歪  名称《5 种方法构建安全的 Django Admin》


推荐阅读

2018年4月新书书单

异步图书最全Python书单

一份程序员必备的算法书单

第一本Python神经网络编程图书

​长按二维码,可以关注我们哟

每天与你分享IT好文。


在“异步图书”后台回复“关注”,即可免费获得2000门在线视频课程;推荐朋友关注根据提示获取赠书链接,免费得异步e读版图书一本。赶紧来参加哦!

点击阅读原文,查看更多

​阅读原文

人邮异步社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
生成式AI入门,我推荐这本书
07-26 481
生成一段较短的文本,同时保留主要思想。示例包括将新闻文章、法律文件或财务报告 摘要为更少的字数或段落,以便更快地阅读。通常在客户支持中使用摘要功能,以快速 地概述客户与客服代表之间的互动。
博客
学习C++,应该循序渐进的看哪些书?
07-12 473
针对C++初学者,从C语言基础知识开始介绍,然后在此基础上详细阐述C++新增的特性,因此不要求读者有C语言方面的背景知识。是一个循序渐进的过程,需要根据自己的基础和目标来选择合适的书籍。3位经验丰富的C++开发人员将展示为什么、何时以及如何使用现代模板来构建更简洁、更快速、更有效、更易于维护的软件。这本书同样适合C++零基础的学习者,内容讲解全面且细致,提供了所有代码的下载,方便学习者边看书边运行代码学习。这本书详细介绍了C++在并发编程方面的应用,是学习C++并发编程的必备书籍。
博客
Go语言如何入门,有哪些书推荐?
07-07 708
无论是刚开始学习Go语言的新手,还是想要回顾Go语言基础知识的Go语言使用者,只要是想用Go做开发,无论是开发小型脚本还是大型程序,《Go语言趣学指南》都会非常有帮助。》是一本面向Go语言初学者的书,循序渐进地介绍了使用Go语言所必需的知识,展示了非常多生动有趣的例子,并通过提供大量练习来加深读者对书中所述内容的理解。Go 语言的发展也得益于其编译速度够快。和字符串等常用类型,类型、函数和方法,数组、切片和映射,结构和接口,指针、nil和错误处理方法,并发和状态保护,并且每个单元都包含相应的章节和。
博客
Java 有什么必看的书?
07-07 635
本书介绍了如何充分利 用泛型、枚举、注解、自动装箱、for-each 循环、可变参数、并发机制等各种特性,帮助读者 更加有效地使用 Java 编程语言及其基本类库(java.lang、java.util 和。本书是专门为应用编程人员编写的,而不是为大学的 Java 语言课程或者系统向导编写的,本书 基本涵盖了应用编程人员在实践中需要解决的问题,例如记录日志和处理文件,但你将不会学习到如何手 动实现链表或如何编写 Web 服务器。本书并非面向 Java 初学者,而是要求读者有一定的Java 编程经验。
博客
有哪些Python书籍是程序员强烈推荐?
07-02 367
本书给出的81个Python项目,可以助你快速上手Python编程完成数字艺术、游戏、动画、计数程序等方面的任务。需要说明的是,书中这些项目涉及的程序大多是用少于256行的代码实现的,如蜗牛赛跑、诱饵标题。本书适合已经了解了基本的Python语法和编程知识、想要尝试和探索通过Python编程解决实际问题的读者阅读,也可作为Python初学者练习项目开发的参考用书。(5)简化硬件项目的组装过程,专注于Python编程15个趣味Python编程项目,从做中学,掌握更实用的Python编程技能(含AI语音识别)
博客
程序员如何高效读代码?
06-23 1085
内容涉及如何像高效的软件工程师一样思考代码,如何编写读起来像一个结构良好的句子的函数,如何确保代码可靠且无错误,如何进行有效的。本书的指导原则很简单:缩减和简化,将精力投入到重要的工作上,省下大量的时间,卸下代码维护的重担。,如何识别可能导致问题的代码并对其进行改进,如何编写可重用并适应新需求的代码,如何提高读者的中长期生产力,同时还介绍了如何节省开发人员及团队的宝贵时间,等等。书中介绍的规则均来自作者多年的实践经验,涵盖从命名到重构的多个编程方面,虽为一“家”之言,然诚有可资借鉴的价值。
博客
CTO的职责是什么?
06-23 946
我当下的答案是:“CTO 就是一个从技术视角出发,为公司或者所在的部门做正确决策的 CEO。”怎么理解这句话呢?作为一个 CTO,其长期目标和决策优先级与 CEO 的是 完全一致的,只不过 CTO 是通过技术手段来最大化公司的生存优势和发展,而 CEO 则是 在更广泛的视角上解决公司的生存和发展问题。我时常问自己:CEO 现在需要什么?从长期看,他需要什么?我怎么做才能帮到他?在技术视角上,我看到了什么机会和风险?他看到了吗?
博客
做一个架构师需要什么能力?
06-18 982
作为一个,需要具备多方面的能力来确保项目的顺利进行和系统的成功设计。
博客
如何使自己写的代码易读易懂?
06-06 672
〓● 如果代码可读性不佳、不容易理解,可能造成如下问题:〓❏ 其他工程师浪费时间解读它;〓❏ 误解导致引入缺陷;〓❏ 其他工程师修改时破坏代码。〓● 提高代码可读性,有时候可能使其变得更为冗长、占用更多的代码行数。这往往是有价值的权衡。〓● 提高代码可读性往往需要同理心——想象其他人可能觉得困惑的情况。〓● 现实生活中的场景各不相同,通常有各自面临的挑战。编写易于理解的代码几乎总是需要应用常识和判断力。实现代码可读性最为常见、有效的技术打下坚实的基础。
博客
如何学习ai agent?
05-31 964
开 发者需要进行深入思考并动手实践,以确立 Agent 的开发框架、Agent 访问工具的方 式、与数据交互的方式,以及如何对话以完成具体任务。这些问题的答案将塑造未来 Agent 的形态和能力。■ Llama Index :开源框架,用于帮助管理和检索非结构化数据,利用大模型的 能力和 Agent 框架来提高文本检索的准确性、效率和智能程度。随着技术的进步,我们开始期待更多:我们所向往的是一个不仅把人工智能生成内 容视为工作的一部分,还将人工智能作为连接更加复杂任务的关键纽带的时代。
博客
如何成为一名合格的JAVA程序员?
05-29 861
每个条目中都讲述了对Java的独到见解,阐明了如何编写高效、优雅的程序,并且提供了清晰、易懂的示例代码。1.Java之父James Gosling鼎力推荐,Jolt获奖作品全新升级,与《Java编程思想》和《Java核心技术》(Core Java)齐名,针对Java 7、8、9全面更新,Java程序员必备参考书。本书是Jolt获奖作品Effective Java的第3版,对上一版进行了全面更新,涵盖了从Java 5到Java 9的种种特性,是Java开发人员不可缺少的一本参考书。你一定不能错过的两本书。
博客
AI Agent: Agent框架+7个实例
05-26 1017
在这个定义中,“人工”指的是由人类创造或模拟,而“智能”指的是解决问 题、学习、适应新环境等的能力。人工智能领域的研究涵盖了从简单的自动化任务到复杂 的决策和问题解决过程,其根本追求是开发出能模仿、再现甚至超越人类智能水平的技术 和系统。开 发者需要进行深入思考并动手实践,以确立 Agent 的开发框架、Agent 访问工具的方 式、与数据交互的方式,以及如何对话以完成具体任务。当然,还有更为复杂的 Age nt。传统的人工智能技术通常局限于静态的功能,它们只能在特定且受限的环境中执行预先设定的任务。
博客
想自学编程,看编程书有些看不懂,下一步应该怎么办?
05-22 707
本书是一本Python入门书,适合对计算机了解不多,没有学过编程,但对编程感兴趣的读者学习使用。这本书以习题的方式引导读者一步一步学习编程,从简单的打印一直讲到完整项目的实现,让初学者从基础的编程技术入手,最终体验到软件开发的基本过程。如果你想成为软件工程师,市场上对这类岗位的需求也日益增长,但是符合要求的候选者却总是供不应求。这是错误的印象,不过编程确实是一件困难的工作。手把手教你零基础学Python 3,本书不仅介绍了Python语言的基础知识,而且通过案例实践教读者如何使用这些知识和技能。
博客
没有数学基础可以学编程吗?
05-18 792
没有数学基础也可以学习编程。虽然数学在某些编程领域(如算法、数据分析、机器学习等)中扮演着重要角色,但编程本身并不完全依赖于。编程主要关注的是逻辑思维、问题分解和解决能力以及计算机语言的基本规则。初学者可以从一些基础的编程语言如Python、JavaScript或Java等开始学习,这些语言相对容易上手,且有很多适合初学者的教程和资源。当然,随着编程学习的深入,你可能会遇到一些需要数学背景知识的领域。但这并不意味着没有数学基础就不能继续学习编程。
博客
为什么自学编程那么难?
05-05 393
自学编程之所以难,主要有以下几个原因:针对以上问题,以下是一些入门编程书籍的推荐:
博客
程序员为什么不能一次性写好,需要一直改Bug?
04-28 911
软件开发常常涉及复杂的业务逻辑,而客户的需求在项目周期内也可能发生变化。因此,即使程序员在开始编写代码时理解了需求,也可能在后续的开发过程中发现原先的设计或代码无法完全满足新的需求,从而需要进行调整。软件开发是一个技术密集型的工作,涉及多种编程语言、框架、库和工具。程序员在编写代码时,可能会遇到技术难题、性能瓶颈或兼容性问题,这都需要通过不断地调试和修改来解决。在大型项目中,多个程序员可能共同负责一个模块或功能。
博客
零基础该如何自学linux运维?
04-28 573
零基础该如何自学linux运维?以下是建议帮助你入门Linux运维的一些建议。
博客
每一个优秀的Java程序员都应该掌握的90条编程法则
04-23 1125
笼统地讲,一个包的导出 API,是由该包中的每个公有(public)类或接口中公有的和受保护的(protected)成员及构造器组成的。的第3 版,对上一版进行了全面更新,涵盖了 从Java 5 到Java 9的种种特性,是Java 开发人员不可缺少的一本参考书。包含90 个条目,形式简洁。的第3版,从Java 5 到Java 9的种种特性,Java 开发人员不可缺少的一本参考书:Effective Java中文版(原书第3版),2024全新译本,豆瓣原版评分9.6,中文版9.8。经典Jolt 获奖作品。
博客
如何有效利用chatgpt?
04-23 1139
当我们在计算机上打字、发邮件或者与智能手机上的语音助手交互时,会发现这些设备可根据我们输入的文字内容或语音指令,给出相应的回答或建议。这种技术就是自然语言处理技术,而ChatGPT就是一种在自然语言处理领域中非常先进的技术。ChatGPT是一种人工智能技术,它可以理解并生成自然语言。它的全称是“Chat Generative Pre-trained Transformer",它是由OpenAI开发的一个大型语言模型。
博客
什么是人工智能?人工智能、机器学习、深度学习三者之间有什么关系吗?
04-08 1230
我们声称人工智能很有趣, 但是我们还没有描述它是什么。历史上研究人员研究过几种 不同版本的人工智能。有些根据对人类行为的复刻来定义智能, 而另一些更喜欢用“理性” (rationality)来抽象正式地定义智能,直观上的理解是做“正确的事情”。智能主题的本身也各 不相同:一些人将智能视为内部思维过程和推理的属性,而另一些人则关注智能的外部特征, 也就是智能行为。a从人与理性 b 以及思想与行为这两个维度来看,有 4 种可能的组合,而且这 4 种组合都有 其追随者和相应的研究项目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值