Я сейчас немного дилемма относительно бэкэнда администратора Django. Система проверки подлинности по умолчанию позволяет уже зарегистрированным пользователям, имеющим права на доступ к сайту администратора, но это просто позволяет им прямо входить.Django Admin - повторная аутентификация?
Это не кажется мне «правильным», и мне интересно, было бы сложно не менее потребовать повторной аутентификации того же сеанса, чтобы попасть в бэкэнд.
Предпочтительно, однако, было бы хорошо, если бы сеансы интерфейса могли быть отделены от внутренних (хотя и с использованием одних и тех же пользовательских объектов), это обеспечило бы чистое разделение обеих частей сайта. Возможно, это потребует двух отдельных серверов аутентификации? Сложно ли это сделать?
Имейте в виду, что реферер может быть трогательным в зависимости от вашей аудитории. Некоторые пакеты «Internet Security» фильтруют заголовок реферера из запросов. –