Django默认管理面板安全

Question

我很好奇Django默认管理面板的安全性。对于一个活的Django网站，我将使用Django管理进行所有管理，感觉就像在mysite.com/admin/处简单地询问用户名和密码，对于强力尝试（或者基于字典的尝试），url有点弱，我对自动黑客攻击知之甚少尝试）

对于额外的保护，你会有什么建议？

我的想法是：

• 只允许admin/登录特定的IP。 （我不知道如何实现这一目标）
• 询问验证码（我能找到一些Infor公司使用的Django的验证码，但不知道管理员登录）

感谢

Answer 1

为什么你认为一个用户名和密码太弱？它似乎适用于Google，所以对您来说可能已经够用了。

我看不出验证码将如何帮助你，我想限制访问某些IP地址很可能只会当你在一个企业风格的设置，在这里你只曾经希望人们使用Django是有益的从公司网络内访问您的管理网站，尽管当内部IP由于某种原因而发生更改时，即使这样也可能会长期受到您的影响。

如果您担心强力攻击，您可能对Luke Plant对django-developers邮件列表中的this thread以及Django的首席开发人员之一Simon Willison的this post感兴趣。