提供一些思路供参考：

1. 用户登录失败，将登录失败次数记录到cache中：比如redis

2. 在5分钟内连续登录失败3次，为了防止暴力破解用户密码行为，此时可在登录页面提供验证码输入框

3. 验证码输入失败，不需要验证账号密码是否正确

4. 如果验证码正确，但是5分钟内已经输错了10此账号密码，则可以冻结该用户，设置该用户的is_active属性为False；冻结24小时，可在cache中写一个TTL为24小时的Flag，比如以username为key

5. 用户登录时，首先检查是否存在key未username的Flag，如果有表明该用户在冻结状态中，因为设置了is_active为False，登录自然会失败

6. 如果flag不存在于cache中，在检查该密码是否正确，如果正确可设置is_active为True，以恢复期冻结状态

有个django-ratelimit的库，可以部分满足你的需要，限制接口调用的次数，可以根据ip限制，根据时间限制等等，用起来也非常灵活。

项目地址：https://github.com/jsocol/dja...
文档地址：http://django-ratelimit.readt...

示例：

from ratelimit.decorators import ratelimit

@ratelimit(key='ip')
def myview(request):
    # ...

@ratelimit(key='ip', rate='100/h')
def secondview(request):
    # ...