Flask Session-如何安全地存储用户凭据

时间:2019-10-07 15:07:23

标签: flask cookies

因此,我刚刚发现Flask的会话实际上不是encrypted,这有点使我的整个身份验证方案失败。

我要实现的目标如下:

  1. 用户登录,服务器使用其用户名发送会话cookie
  2. 在cookie过期之前,服务器会在会话中看到用户电子邮件,并且不再要求提供凭据。

但这是一个经典问题,如果用户更改了密码,如果有人恶意获取了该用户的密码,则此更改不会使他的会话无效。

因此,经过一番思考,我想到了一个解决方案:每隔5分钟(或大约5分钟),服务器将通过检查用户是否更改密码来刷新会话。

现在是问题,服务器如何检查用户是否更改了密码?

我想到的唯一解决方案是将用户密码存储在cookie会话中,但是我是否将其密码存储在与数据库相同的哈希中?

还是有另一种方法可以解决密码重置问题,而不必在每次请求时都访问数据库?

我怎样才能真正保护我的Flask会话cookie?还是我不需要?

请注意,我不想使用任何flask插件

0 个答案:

没有答案