通过危险令牌获取用户信息

时间:2016-03-15 20:56:21

标签: python flask token

我目前正在通过Miguel Grinberg的书学习Flask。如果您熟悉,您可能会知道Flasky(Miguel在本书中使用的应用程序)

我目前在第8部分,处理密码重置,这里是原始代码(您也可以在回购邮件上找到它。它标记为8g):

models.py

class User(UserMixin, db.Model):
    __tablename__ = 'users'
    ...
    def generate_reset_token(self, expiration=3600):
        s = Serializer(current_app.config['SECRET_KEY'], expiration)
        return s.dumps({'reset': self.id})

    def reset_password(self, token, new_password):
        s = Serializer(current_app.config['SECRET_KEY'])
        try:
            data = s.loads(token)
        except:
            return False
        if data.get('reset') != self.id:
            return False
        self.password = new_password
        db.session.add(self)
        return True

AUTH / views.py

@auth.route('/reset/<token>', methods=['GET', 'POST'])
def password_reset(token):
    if not current_user.is_anonymous:
        return redirect(url_for('main.index'))
    form = PasswordResetForm()
    if form.validate_on_submit():
        user = User.query.filter_by(email=form.email.data).first()
        if user is None:
            return redirect(url_for('main.index'))
        if user.reset_password(token, form.password.data):
            flash('Your password has been updated.')
            return redirect(url_for('auth.login'))
        else:
            return redirect(url_for('main.index'))
    return render_template('auth/reset_password.html', form=form)

AUTH / forms.py

class PasswordResetForm(Form):
    email = StringField('Email', validators=[Required(), Length(1, 64),
                                             Email()])
    password = PasswordField('New Password', validators=[
        Required(), EqualTo('password2', message='Passwords must match')])
    password2 = PasswordField('Confirm password', validators=[Required()])
    submit = SubmitField('Reset Password')

    def validate_email(self, field):
        if User.query.filter_by(email=field.data).first() is None:
            raise ValidationError('Unknown email address.')

我的问题:

我不想再次询问用户的电子邮件,因为他们正在通过收到的电子邮件更改密码。有没有办法从该令牌获取用户或用户的电子邮件?

2 个答案:

答案 0 :(得分:1)

对于1-在安全级别上,用户隐藏谁拥有您网站的帐户可能是一个很好的优势。例如,假设它是一个Addicts匿名网站,如果我想看看alice@example.com是否是会员,我可以简单地尝试重置密码以确认她是会员。

或者,如果您有大量的电子邮件地址,则可以使用该密码重置表单将列表缩小到活动成员以用于更具针对性的社交工程攻击,或者至少缩小列表范围(如果您是旨在强暴他们。

答案 1 :(得分:0)

好吧,以防万一这对其他人有用。用户信息已在令牌中,位于{'reset':user_id}。

问题在于令牌管理逻辑在用户模型中。因此,在表单中有一个电子邮件字段,以便稍后在视图中查找该用户,可以在当前版本中使用该技巧

由于您在此视图中获得了令牌,我们可以将该逻辑移动到视图中:

<强> AUTH / views.py

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

@auth.route('/reset/<token>', methods=['GET', 'POST'])
def reset_password(token):
    s = Serializer(current_app.config['SECRET_KEY'])
    try:
        data = s.loads(token)
    except:
        raise ValidationError()
    user_id = data['reset']
    ....

在用户模型中,我们需要修改reset_password()方法:

<强> models.py

class User(UserMixin, db.Model):
    __tablename__ = 'users'

    ...

    def reset_password(self, new_password):
        self.password = new_password
        db.session.add(self)
        return True