Django 管理员 - 重新身份验证？

Question

我现在对于 Django 的管理后端有点进退两难。默认身份验证系统允许已登录的具有员工权限的用户访问管理站点，但它只是让他们直接进入。

这对我来说感觉不太“正确”，我想知道这是否会很难至少需要对同一会话重新进行身份验证才能进入后端。

不过，如果前端会话可以与后端会话分开（尽管仍然使用相同的用户对象），那就更好了，这将允许站点的两个部分完全分离。这可能需要两个单独的身份验证后端吗？这样的事情会很难实现吗？

Answer 1

这是一个想法：在与前端不同的域上运行管理应用程序。 cookie 在其他域中无效，因此用户必须重新登录。您所需要的只是一个单独的 Apache vhost 和一个基本的 settings.py，其中只有 INSTALLED_APPS 中的 contrib.admin 。

Answer 2

您可能可以实现一个中间件，当从不在管理站点中的引用者访问管理站点时，该中间件要求进行身份验证。它可以将该人注销并让他们重新登录，但即使这样也没有必要。只需输入另一个密码，如果失败则重定向它们。它可能涉及设置会话变量、is_admin_authenticated 或其他内容。