关于Django的管理员后端,我现在处于两难境地.默认身份验证系统允许已登录的用户具有访问管理站点的人员权限,但只是让他们直接进入.
这对我来说感觉不对,我想知道是否难以至少要求重新认证同一个会话才能进入后端.
但是,优选地,如果前端会话可以与后端会话分开(尽管仍然使用相同的用户对象),这将是好的,这将允许站点的两个部分的清洁分离.这可能需要两个单独的身份验证后端吗?这样的事情很难实现吗?
这是一个想法:在不同的域上运行管理员应用程序到前端.Cookie在其他域中无效,因此用户必须再次登录.所有你需要将一个单独的Apache虚拟主机,并且只是有一个基本的settings.py contrib.admin在INSTALLED_APPS.
您可能可以实现一个中间件,当从不在管理站点中的引用者访问管理站点时,该中间件要求进行身份验证。它可以将该人注销并让他们重新登录,但即使这样也没有必要。只需输入另一个密码,如果失败则重定向它们。它可能涉及设置会话变量is_admin_authenticated等。
| 归档时间: |
|
| 查看次数: |
399 次 |
| 最近记录: |