使用Flask-Login注销特定用户
[英]Logging out a specific user with Flask-Login
问题描述
我正在向Flask Web应用程序添加密码重置功能。
重置密码后,我想注销使用该用户名登录的任何人。 我知道Flask-Login提供的logout_user()方法。 在我的应用程序中,密码重置是在用户未登录时完成的-使用电子邮件确认。 它基本上是“忘记密码”功能。 我正在寻找类似logout_user(specific_user)东西。 还是一种使特定用户的Cookie无效的方法? 遵循这些原则。
我要执行此操作,因为当前如果用户凭据被盗并且他们重置了密码,则具有被盗凭据的人仍将登录并可以访问Web应用程序。
1 个解决方案
解决方案1
1 已采纳 2014-07-08 10:01:02
您可能应该存储密码重置的时间戳,并将其与用户cookie进行比较。 如果生成Cookie后密码已重置,则要求用户再次提供登录名/密码。
Flask-Login cookie默认情况下不包含时间戳,因此您将不得不对其进行一些调整。
在Flask-Login的GitHub上发布问题可能是值得的,因为这似乎是一个标准的用例。
编辑:实际上有一种更好的方法,请参见https://flask-login.readthedocs.org/en/latest/#alternative-tokens 。 这是关于使用用户密码哈希(除其他事项外)对“记住我” cookie进行签名。 这样,如果密码更改,则cookie实际上是无效的。
Flask-Socketio 与 Flask-Login 的 current_user 不同步
[英]Flask-Socketio out of sync with Flask-Login's current_user
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.