我正在使用Flask session检查用户是否正确输入了密码。当用户正确输入密码时,我设置session [“ authenticated”] = True。我有一个如下所示的登录页面:
@app.route('/', methods=["GET", "POST"])
def login():
if request.method == 'POST':
if request.form["password"] == "secret_password":
session["authenticated"] = True
session.permanent = True
return redirect(url_for('dashboard'))
else:
return redirect(url_for('login'))
elif request.method == 'GET':
return render_template("login.html")
在主页视图中,我检查session["authenticated"]是否为True。
这是对人进行身份验证的安全方法吗?恶意用户是否可以简单地将其会话cookie的“已认证”字段设置为True?
我了解Cookie的加密安全性。但这包括我的设置吗?