使用Flask-Login注销特定用户

Question

我是在过程中添加密码重置功能到一个瓶网站应用程序。

当一个密码被重置时，我想注销任何用那个用户名登录的人。我知道logout_user()方法提供的瓶-登录。在我的应用程序中，密码重置是在用户未使用电子邮件确认登录时完成的。它基本上是“忘记我的密码”功能。我在找像logout_user(specific_user)这样的东西。或者一种使特定用户cookie无效的方法？沿着这些路线的东西。

我想这样做，因为目前，如果一个用户的凭证被盗，他们重置他们的密码，被窃取的凭据的人仍然登录，并可以访问网络应用程序。

Answer 1

您可能应该存储密码重置的时间戳，并将其与用户cookie进行比较。如果在生成cookie之后重新设置了密码，您将再次要求用户提供登录/密码。

烧瓶-默认情况下，登录cookie不包含时间戳，因此您必须稍微修改一下。

也许值得在Flask的GitHub上发布一个问题，因为它似乎是一个标准的用例。

编辑：实际上有一个更好的方法，参见https://flask-login.readthedocs.org/en/latest/#alternative-tokens。它是关于使用用户密码哈希(以及其他事情)来签署“记住我”的cookie。这样，如果密码更改，cookie实际上是未经验证的。