重置密码时删除所有用户的cookies/会话

Question

我对提高我的TurboGears 2.2应用程序的安全性很感兴趣，这样当用户更改其密码时，它会将他从所有会话中注销，并且他必须重新登录。目标是当用户在浏览器1上更改密码时，他也必须在浏览器2上重新登录。实验表明，情况并非如此，特别是如果浏览器2启用了“记住我”。

这是使用repoze.who的标准快速入门应用程序。似乎我需要更改AuthTktCookiePlugin，但我看不到一种不进行太多重新连接的方法。

Answer 1

在request.identity['userdata']中存储上一次密码更改的时间戳应该可以在用户返回时进行检查，如果与上次密码更改不同，则可以将其注销。