基于Python + Django 的密码自助平台项目（完整代码）

### 初学 Django 时碰到的一个需求，因为公司中很多员工在修改密码之后，有一些关联的客户端或网页中的旧密码没有更新，导致密码在尝试多次之后账号被锁，为了减少这种让人头疼的重置解锁密码的操蛋工作，自己做了一个自助修改小平台。 ### 水平有限，代码写得不好，但是能用，有需要的可以直接拿去用。 #### 场景说明： 因为本公司 AD 是早期已经在用，用户的个人信息不是十分全面，例如:用户手机号。 钉钉是后来才开始使用，钉钉默认是使用手机号登录。 用户自行重置密码时如果通过手机号来进行钉钉与 AD 之间的验证就行不通了。 ### 逻辑： > 用户扫码通过之后，通过临时授权码，提取用户的 userid，再通过 userid 断用户在本企业中是否存在。如果存在，提取钉钉/企业微信用户的邮箱，通过邮箱转成账号，将账号拿到 AD 中进行比对来验证账号在 AD 中是否存在并账号状态是激活的。满足以上条件的账号就会视为可自行重置密码。 ## <u>_**所能接受的账号规则**_ </u> 无论是钉钉、微信，均是通过提取用户邮箱的前缀部分来作为关联 AD 的账号，所以目前的识别逻辑就需要保证邮箱的前缀和 AD 的登录账号是一致的。 如果您的场景不是这样，请按自己的需求修改源代码适配。 ### 代码提交到--新分支： ``` djaong3 ``` ### 提示： ``` AD必须使用SSL才能修改密码（这里被坑了N久...） 自行部署下AD的证书服务，并颁发CA证书，重启服务器生效。 具体教程百度一下，有很多。 ``` ### 本次升级、修复，请使用最新版： + 升级 Python 版本为 3.8 + 升级 Django 到 3.2 + 修复用户名中使用\被转义的问题 + 重写了 dingding 模块，因为 dingding 开发者平台接口鉴权的一些变动，之前的一些接口不能再使用，本次重写。 + 重写了 ad 模块，修改账号的一些判断逻辑。 + 重写了用户账号的格式兼容，现在用户账号可以兼容：username、DOMAIN\username、username@abc.com 这三种格式。 + 优化了整体的代码逻辑，去掉一些冗余重复的代码。 ### 2021/05/19 -- 更新： + 添加了企业微信支持，修改 pwdselfservice/local_settings.py 中的 SCAN_CODE_TYPE = 'DING'或 SCAN_CODE_TYPE = 'WEWORK'，区分使用哪个应用扫码验证 + 添加 Reids 缓存 Token 支持，如果不配置 Redis 则使用 MemoryStorage 缓存到内存中 Redis 的安装和配置方法请自行百度，比较简单 > 切记 Redis 一定请配置密码，弱密码或没有密码的 Redis 如果不小心暴露到公网，极其容易导致机器被黑用来挖矿。 整体验证逻辑不变，如果需要使用其它字段关联到 AD 验证的，请自行修改代码。 ## 线上环境需要的基础环境： + Python 3.8.9 (可自行下载源码包放到项目目录下，使用一键安装) + Nginx + Uwsgi ## 截图  ### 钉钉  ### 微信   #### 扫码成功之后：   ## 钉钉必要条件： #### 创建企业内部应用 * 在钉钉工作台中通过“自建应用”创建应用，选择“企业内部开发”，创建 H5 微应用或小程序，在应用首页中获取应用的：AgentId、AppKey、AppSecret。 * 应用需要权限：身份验证、消息通知、通讯录只读权限、手机号码信息、邮箱等个人信息、智能人事，范围是全部员工或自行选择 * 应用安全域名和 IP 一定要配置，否则无法返回接口数据。 参考截图配置：    #### 移动接入应用--登录权限： > 登录中开启扫码登录，配置回调域名：“[https://pwd.abc.com/callbackCheck](https://pwd.abc.com/callbackCheck)” > 其中 pwd.abc.com 请按自己实际域名来，并记录相关的：appId、appSecret。 参考截图配置：  ## 企业微信必要条件： * 创建应用，记录下企业的 CorpId，应用的 ID 和 Secret。 参考截图：     ## 飞书必要条件： * 开放平台--> 创建应--> 网页开启--> 配置回调 url > 飞书接口项目地址：[https://github.com/larksuite/feishu](https://github.com/larksuite/feishu) 感谢大佬，节省了不少时间。 ## 使用脚本自动部署： 使用脚本自动快速部署，只适合 CentOS，其它发行版本的 Linux 请自行修改相关命令。 ### 把整个项目目录上传到新的服务器上 #### 先修改配置文件，按自己实际的配置修改项目配置文件： 修改 conf/local_settings.py 中的参数，按自己的实际参数修改 ````python # ########## AD配置，修改为自己的 # AD主机，可以是IP或主机域名，例如可以是: abc.com或172.16.122.1 AD_HOST = r'修改成自己的' # AD域控的DOMAIN名，例如：abc AD_DOMAIN = r'修改成自己的' # 用于登录AD做用户信息处理的账号，需要有修改用户账号密码或信息的权限。 # AD账号，例如：pwdadmin AD_LOGIN_USER = r'修改成自己的' # 密码 AD_LOGIN_USER_PWD = r'修改为自己的' # BASE DN，账号的查找DN路径，例如：'DC=abc,DC=com'，可以指定到OU之下，例如：'OU=RD,DC=abc,DC=com'。 BASE_DN = r'修改成自己的' # 是否启用SSL, # 注意：AD必须使用SSL才能修改密码（这里被坑了N久...）,自行部署下AD的证书服务，并颁发CA证书，重启服务器生效。具体教程百度一下，有很多。 AD_USE_SSL = True # 连接的端口，如果启用SSL默认是636，否则就是389 AD_CONN_PORT = 636 # 扫码验证的类型 # 钉钉 / 企业微信，自行修改 # 值是：DING / WEWORK SCAN_CODE_TYPE = 'DING' # ########## 钉钉 《如果不使用钉钉扫码，可不用配置》########## # 钉钉接口主地址，不可修改 DING_URL = r'https://oapi.dingtalk.com' # 钉钉企业ID <CorpId>，修改为自己的 DING_CORP_ID = '修改为自己的' # 钉钉企业内部开发，内部H5微应用或小程序，用于读取企业内部用户信息 DING_AGENT_ID = r'修改为自己的' DING_APP_KEY = r'修改为自己的' DING_APP_SECRET = r'修改为自己的' # 移动应用接入 主要为了实现通过扫码拿到用户的unionid DING_MO_APP_ID = r'修改为自己的' DING_MO_APP_SECRET = r'修改为自己的' # ####### 企业微信《如果不使用企业微信扫码，可不用配置》 ########## # 企业微信的企业ID WEWORK_CORP_ID = r'修改为自己的' # 应用的AgentId WEWORK_AGENT_ID = r'修改为自己的' # 应用的Secret WEW