Django admin.site.urls only access to superuser (admin login page only access to superuser)

Question

我想要的是将 django 管理员登录页面的访问权限限制为只有超级用户。 这意味着如果您不是超级用户，并尝试访问http://127.0.0.1:8000/admin - 您应该被重定向到 404 页面，类似的东西。执行此身份验证的方法或自定义视图是挑战。 请有人帮助我提示如何做？

  urlpatterns = [
     path('admin/', my_custom_function,name="check_if_superuser"),


     # when somebody hits this url pattern , he/she should be taken to the 
     # function above for checking if superuser befor being redirected to 
     # django admin login page
 ]

在我的views.py我有以下功能进行身份验证

    def  my_custom_function(request):
         if request.user.is_superuser():
            #... redirect to django admin login page

         else:
             # return render(404_page)

是这样的。

Answer 1

默认情况下，django admin 只允许超级用户或东西用户登录。 因此，拥有管理员登录面板是安全的。 另外，如果您想限制该登录路径，我认为最好在该特定路由上放置防火墙。 这样只有列入白名单的 IP 才能访问它。 您可以为此使用 NGINX，配置应该是这样的：

location /admin {
  # block one workstation
  deny    192.168.1.1;
  # allow anyone in 192.168.1.0/24
  allow   192.168.1.0/24;
  # drop rest of the world 
  deny    all;
}

本文可能对配置有所帮助。

Answer 2

我假设在描述的场景中可能有一个 catch 22。

1. 要检查用户权限，应该有一个登录用户
2. 如果您只检查可用用户 - is_superuser 并显示 404：

• 已登录，非超级用户将收到 404
• 未登录的访客可以进入管理页面

2. 如果您添加检查用户是否已登录，如果没有显示 404 以及：

• 没有人可以从管理页面登录，除非在其他地方登录并在之后进入管理页面

这两种情况对我来说听起来不一致。 我认为您想要实现的目标是由 Django 框架以稍微不同的方式完成的。

---

在django.contrib.admin.sites AdminSite类中有has_permission()

如果给定的 HttpRequest 有权查看管理站点中的至少一页，则返回 True

并且默认返回request.user.is_active and request.user.is_staff如果您在 admin.py 中更改它，则只有活跃的超级用户才能使用 admin：

from django.contrib import admin

def has_superuser_permission(request):
    return request.user.is_active and request.user.is_superuser

# Only active superuser can access root admin site (default)
admin.site.has_permission = has_superuser_permission

甚至非 sup 登录也会显示权限不足的信息并提示重新登录