我的网站是一个用 Django 编写的数字市场网站。
网站上的数字内容(文本、图像、视频)默认情况下处于“锁定”状态。只有购买这些内容的用户才能查看。
有一个故事,某些用户(购买了内容)将用户名/密码免费提供给许多人(例如 Facebook 群组中的 1,000 多人)。然后,这 1,000 个用户可以使用单个用户名/密码登录并查看“锁定”的数字内容,而无需支付一分钱。
同一个账号可以同时登录数量限制吗?
我找到了这个包裹:
https://github.com/pcraston/django-preventconcurrentlogins
但它的作用是当有人使用相同的用户名/密码登录时注销以前的用户。这没有帮助,因为每个用户每次只需要输入用户名/密码即可访问“锁定”的内容。
要限制并发用户,请密切关注现有的会话。
在您当前的方法中,当用户登录时,会创建一个新会话。新会话与旧会话共存,因此您同时拥有 N 并发会话。
您想要允许单个会话。最简单的方法是在新登录时使旧会话失效:
其他(更完整,但更复杂)的方法将使用双因素身份验证,阻止每个IP,限制登录事件,要求电子邮件确认等...
将用户会话映射存储在另一个模型中。
from django.conf import settings
from django.contrib.sessions.models import Session
from django.db import models
class UserSessions(models.Model):
user = models.ForeignKey(settings.AUTH_USER_MODEL, related_name='user_sessions')
session = models.OneToOneField(Session, related_name='user_sessions',
on_delete=models.CASCADE)
def __str__(self):
return '%s - %s' % (self.user, self.session.session_key)
如果您有自己的登录视图,您可以自己更新此模型:
from django.contrib.auth.views import login as auth_login
MAX_USER_SESSIONS = 5
def login(request):
auth_login(request)
if request.user.is_authenticated():
session = Session.objects.get(session_key=request.session.session_key)
user_session = UserSession.objects.create(user=request.user, session=session)
no_of_logins = request.user.user_sessions.count()
if no_of_logins > MAX_USER_SESSIONS:
...
另一种选择是使用Signal。 Django 提供信号:
user_logged_inuser_login_faileduser_logged_out# signals.py
from django.contrib.auth.signals import user_logged_in
from django.dispatch import receiver
@receiver(user_logged_in)
def concurrent_logins(sender, **kwargs):
user = kwargs.get('user')
request = kwargs.get('request')
if user is not None and request is not None:
session = Session.objects.get(session_key=request.session.session_key)
UserSessions.objects.create(user=user, session=session)
if user is not None:
request.session['NUM_SESSIONS'] = user.user_sessions.count()
# your login view
def login(request):
auth_login(request)
if request.user.is_authenticated() and request.session['NUM_SESSIONS'] > MAX_USER_SESSIONS:
...
您可以列出以前的会话,并要求用户选择要注销的会话。 (不要阻止用户登录,否则他们可能会被锁定 - 如果他们无权访问之前的会话)
1 在您的用户/配置文件应用程序中添加管理命令文件
要添加管理命令,请遵循以下指南: https://docs.djangoproject.com/en/1.10/howto/custom-management-commands/
2 管理命令代码: 终止拥有超过 10 个会话的用户的所有会话,如果需要,您可以将其更改为 1K,或者将此值作为参数发送到管理命令
from django.core.management.base import BaseCommand, CommandError
from django.contrib.sessions.models import Session
from django.contrib.auth.models import User
class Command(BaseCommand):
def handle(self, *args, **options):
session_user_dict = {}
# users with more than 10 sessions - del all
for ses in Session.objects.all():
data = ses.get_decoded()
user_owner = User.objects.filter(pk = data.get('_auth_user_id', None))
if int(data.get('_auth_user_id', None)) in session_user_dict:
session_user_dict[int(data.get('_auth_user_id', None))] += 1
else:
session_user_dict[int(data.get('_auth_user_id', None))] = 1
for k,v in session_user_dict.iteritems():
if v > 10:
for ses in Session.objects.all():
data = ses.get_decoded()
if str(k) == data.get('_auth_user_id', None):
ses.delete()
3 可选密码更改- 杀死坏用户会话后 - 将坏用户密码更改为不同的密码。 为此,请更改上面代码中的最后一个循环
for k,v in session_user_dict.iteritems():
if v > 10:
for ses in Session.objects.all():
data = ses.get_decoded()
if str(k) == data.get('_auth_user_id', None):
ses.delete()
theuser = User.objects.filter(pk=k)
#maybe use uuid to pick a password ...
theuser.set_password('new_unknown_password')
4 每分钟/每小时或每当使用本指南向 crontab 添加一个 django 管理命令: https://www.cyberciti.biz/faq/how-do-i-add-jobs-to-cron-under-linux-or-unix-oses/
如果您使用虚拟环境,请记住从 cron 运行的管理命令需要先进入虚拟环境,您可以使用 .sh 脚本来完成,如果需要请寻求帮助