因此,我刚刚发现Flask的会话实际上不是encrypted,这有点使我的整个身份验证方案失败。
我要实现的目标如下:
但这是一个经典问题,如果用户更改了密码,如果有人恶意获取了该用户的密码,则此更改不会使他的会话无效。
因此,经过一番思考,我想到了一个解决方案:每隔5分钟(或大约5分钟),服务器将通过检查用户是否更改密码来刷新会话。
现在是问题,服务器如何检查用户是否更改了密码?
我想到的唯一解决方案是将用户密码存储在cookie会话中,但是我是否将其密码存储在与数据库相同的哈希中?
还是有另一种方法可以解决密码重置问题,而不必在每次请求时都访问数据库?
我怎样才能真正保护我的Flask会话cookie?还是我不需要?
请注意,我不想使用任何flask插件