Django пакет для защиты от брутфорса: django-axes

Django Axes

django-axes отслеживает неудачные попытки входа и блокирует подозрительную активность.

Установка

# Установка пакета
pip install django-axes

# Или через Poetry
poetry add django-axes

Настройка

# settings.py
INSTALLED_APPS = [
    'axes',
]

MIDDLEWARE = [
    'axes.middleware.AxesMiddleware',
]

AUTHENTICATION_BACKENDS = [
    'axes.backends.AxesBackend',
    'django.contrib.auth.backends.ModelBackend',
]

# Настройки Axes
AXES_FAILURE_LIMIT = 5
AXES_COOLOFF_TIME = 1  # час
AXES_LOCK_OUT_BY_COMBINATION_USER_AND_IP = True

Дополнительные настройки

# settings.py
# Блокировка по IP
AXES_LOCK_OUT_BY_IP = True

# Блокировка по username
AXES_LOCK_OUT_BY_USER_OR_IP = True

# Время блокировки в часах
AXES_COOLOFF_TIME = 2

# Количество попыток
AXES_FAILURE_LIMIT = 3

# Исключения
AXES_NEVER_LOCKOUT_GET = True
AXES_NEVER_LOCKOUT_WHITELIST = True

Команды управления

# Просмотр заблокированных попыток
python manage.py axes_list_attempts

# Сброс блокировок
python manage.py axes_reset

# Сброс блокировки для конкретного IP
python manage.py axes_reset_ip 192.168.1.1

Кастомизация блокировки

# settings.py
AXES_LOCKOUT_TEMPLATE = 'axes/lockout.html'
AXES_LOCKOUT_URL = '/locked-out/'

# Кастомная логика блокировки
AXES_LOCKOUT_CALLABLE = 'myapp.utils.custom_lockout'

FAQ

Q: Как исключить IP из проверки?
A: Используй AXES_IP_WHITELIST в настройках.

Q: Можно ли настроить уведомления о блокировках?
A: Да, используй сигналы Django для отправки уведомлений.