flask_login有时会混合登录；我是以其他人的身份登录的

Question

我正在使用非常棒的Flask framework创建一个网站，在这个网站中我使用Flask-login进行用户登录。这通常可以很好地工作，但有时我会看到混合登录的奇怪问题。我们有3个flask dev-server运行在一台机器上(在不同的端口上)，我们在一个办公室里工作，大约有10个人(只有一个共享的ip)。问题是有时一个用户突然以另一个用户的身份登录。

我真的不能确定这种情况是在什么时候或在什么情况下发生的。但我也不知道如何调试它。问题的根源可能是我们共享一个互联网连接，还是我们在一台机器上运行多个flask dev-server的问题？

我不知道这种情况是否也发生在我们办公室之外的人身上(我们仍处于测试阶段)。

有没有人能给我一些关于如何调试这个的提示？

Answer 1

您最有可能使用的是缓存(部分)来自Flask的HTTP回复的web服务器。这些可能包括静态媒体、生成的媒体、PDF、Office文件。

错误配置的前端web服务器可能会缓存此类包含媒体和会话cookie (Cookies报头)的超文本传输协议响应。在愉快地缓存此响应之后，前端web服务器将其提供给另一个用户。此用户的现有会话cookie将被缓存的HTTP响应中的会话cookie覆盖。然后，由于会话切换，用户成为其HTTP响应被缓存的用户。

解决方案

• 修复会话middleware
• Explicitly在服务器端设置无缓存头
• 将前端web服务器配置为不缓存带有cookies的响应

Further information in operationssecurity.org。