Django默認管理面板安全

Question

我很好奇Django默認管理面板的安全性。對於一個活的Django網站，我將使用Django管理進行所有管理，感覺就像在mysite.com/admin/處簡單地詢問用戶名和密碼，對於強力嘗試（或者基於字典的嘗試），url有點弱，我對自動黑客攻擊知之甚少嘗試）

對於額外的保護，你會有什麼建議？

我的想法是：

• 只允許admin/登錄特定的IP。 （我不知道如何實現這一目標）
• 詢問驗證碼（我能找到一些Infor公司使用的Django的驗證碼，但不知道管理員登錄）

感謝

Answer 1

爲什麼你認爲一個用戶名和密碼太弱？它似乎適用於Google，所以對您來說可能已經夠用了。

我看不出驗證碼將如何幫助你，我想限制訪問某些IP地址很可能只會當你在一個企業風格的設置，在這裏你只曾經希望人們使用Django是有益的從公司網絡內訪問您的管理網站，儘管當內部IP由於某種原因而發生更改時，即使這樣也可能會長期受到您的影響。

如果您擔心強力攻擊，您可能對Luke Plant對django-developers郵件列表中的this thread以及Django的首席開發人員之一Simon Willison的this post感興趣。