我对提高TurboGears 2.2应用程序的安全性感兴趣,这样当用户更改密码时,它会将他从所有会话中注销,并且必须再次登录。目标是当用户在浏览器1上更改密码时,他也必须重新登录浏览器2。实验表明情况并非如此,特别是如果浏览器2启用了“记住我”。
这是使用repoze.who的标准快速启动应用程序。似乎我可能需要更改AuthTktCookiePlugin,但是如果没有多少重新布线,就看不到这样做的方法。
答案 0 :(得分:1)
存储上次在request.identity['userdata']内更改密码的时间戳应该可以在用户返回时检查它并将其注销,如果它与上次密码更改为真实时不同。