Django管理-重新认证？

Question

关于Django的管理后端，我现在处于一个进退两难的境地。默认的身份验证系统允许已经登录的拥有工作人员权限的用户访问管理站点，但是它只允许他们直接进入。

这对我来说是“不对的”，我想知道是否至少需要对同一会话进行重新身份验证才能进入后端。

最好是，如果前端会话可以与后端会话分离(尽管仍然使用相同的用户对象)，这将允许站点的两个部分完全分离。这可能需要两个单独的身份验证后端吗？这样的事情会很难实现吗？

Answer 1

这里有一个想法:在一个与前端不同的域运行管理应用程序。cookies在另一个域中无效，因此用户必须再次登录。您所需要的只是一个单独的Apache和一个基本的settings.py，其中只有contrib.admin在INSTALLED_APPS中。

Answer 2

您可能会实现一个中间件，该中间件在从非管理站点的引用访问管理站点时请求身份验证。它可以让人登录并让他们重新登录，但即使这样也没有必要。只需输入另一个密码，并在失败时重定向。它可能涉及设置会话变量、is_admin_authenticated或其他什么。