Question

我遇到一个问题，在我注销用户logout_user()并尝试访问我的index.html之后，它正确地给了我未经身份验证的消息。但是，如果我在注销之前从cookie中保存了会话ID，则可以将其放回cookie中并转到index.html页面，而无需输入任何凭据，因为该会话保持活动状态。

有没有一种方法可以手动删除在login_user()时创建的会话？我目前不对会话进行任何操作，而是通过login_user(userID)调用来创建当前会话ID并将其放入cookie。

Answer 1

听起来您遇到stale sessions as per the docs。解决该问题的一种方法是将session protection更改为strong。

login_manager.session_protection = "strong"