我在一个项目上工作(不是任何合作项目,学术上)我在使用其登录管理器中的危险和登录管理器时遇到了麻烦。
我创建了一个注册表单。输入我的名字电子邮件和密码然后 我重新启动服务器,我得到了这个:
```
itsdangerous.BadTimeSignature
BadTimeSignature: Signature 'GAMjfzQpbKlPraWesdT49W40pA8' does not match
```
错误的流程如下:
return render_template('index.html')
ctx.app.update_template_context(context)
context.update(func())
return dict(current_user=_get_user())
current_app.login_manager._load_user()
return self._load_from_cookie(request.cookies[cookie_name])
user = self.token_callback(cookie)
line 93, in load_token
data = login_serializer.loads(token, max_age=max_age)
.unsign(s, max_age, return_timestamp=True)
in unsign
date_signed=timestamp)
BadTimeSignature: Signature 'GAMjfzQpbKlPraWesdT49W40pA8' does not match
问题的根源在主应用程序运行文件中:
line 93, in load_token
data = login_serializer.loads(token, max_age=max_age)
@login_manager.token_loader
def load_token(token):
max_age = app.config["REMEMBER_COOKIE_DURATION"].total_seconds()
#decrypt token
data = login_serializer.loads(token, max_age=max_age)
user = find-and-get-user-object(data)
if user:
if data[2] == users password: return user object
return None
app.config [“REMEMBER_COOKIE_DURATION”]设置为
app.config["REMEMBER_COOKIE_DURATION"] = some timedelta days
从DateTime导入时间增量。
模型文件具有在sql alchemy Model:
中定义的用户模型Base=declarative_base()
使用类方法
get_auth_token(self):
return login_serializer.dumps([str(self.id_), self.email, self.pwd])
登录序列化程序基于:
from itsdangerous import URLSafeTimedSerializer
app.secret_key = gen_random_key()
login_serializer = URLSafeTimedSerializer(app.secret_key)
如果没有登录管理器,则提交路由正在运行。
我想知道load_token()函数行是怎么回事:
data = login_serializer.loads(token, max_age=max_age)
影响用户模型生成的令牌,为什么要检查路线上的匹配,比如'/'或任何随机可以访问的路线。
我是否需要设置权限限制,以便将登录管理器设置为不检查每条路由?
正如我所理解的那样生成替代令牌,以便更安全地将会话cookie绑定到服务器端cookie,因为服务器端cookie信息将被比较,这可以基于get_auth_token看到,这取得了一些用户属性并给出了用于令牌的随机安全字符串。
答案 0 :(得分:6)
每次在这里创建一个新秘密:
from itsdangerous import URLSafeTimedSerializer
app.secret_key = gen_random_key()
login_serializer = URLSafeTimedSerializer(app.secret_key)
如果您每次更改密码,之前生成的Cookie将始终无效,因为它们不会与新密码匹配。
使用您的应用程序配置存储密码。