如何修复itsdangerous.BadTimeSignature签名错误

Question

我在做一个项目(不是任何公司)。项目，学术)我有困难使用它的危险和登录经理从瓶-登录。

我创建了一个注册表格。输入我的名字、电子邮件和密码，然后当我重新启动服务器时，我得到以下信息：

itsdangerous.BadTimeSignature

BadTimeSignature:签名'GAMjfzQpbKlPraWesdT49W40pA8‘不匹配

错误流如下所示：

return render_template('index.html')
  ctx.app.update_template_context(context)
    context.update(func())
 return dict(current_user=_get_user())
  current_app.login_manager._load_user()
    return self._load_from_cookie(request.cookies[cookie_name])
 user = self.token_callback(cookie)
line 93, in load_token
    data = login_serializer.loads(token, max_age=max_age)
.unsign(s, max_age, return_timestamp=True)
in unsign
    date_signed=timestamp)
BadTimeSignature: Signature 'GAMjfzQpbKlPraWesdT49W40pA8' does not match

问题的根源在运行中的主应用程序文件中：

line 93, in load_token
    data = login_serializer.loads(token, max_age=max_age)

@login_manager.token_loader
def load_token(token):
    max_age = app.config["REMEMBER_COOKIE_DURATION"].total_seconds()

    #decrypt token
    data = login_serializer.loads(token, max_age=max_age)

    user = find-and-get-user-object(data)
    if user:
        if data[2] == users password: return user object
    return None

app.config"REMEMBER_COOKIE_DURATION“设置为

app.config["REMEMBER_COOKIE_DURATION"] = some timedelta days

时间增量是从DateTime导入的。

模型文件在sql炼金术模型中定义了用户模型：

Base=declarative_base()

用类方法

get_auth_token(self):
        return login_serializer.dumps([str(self.id_), self.email, self.pwd])

登录序列化程序基于：

from itsdangerous import URLSafeTimedSerializer
app.secret_key = gen_random_key()
login_serializer = URLSafeTimedSerializer(app.secret_key)

在没有登录管理器的情况下，提交路由正在工作。

我想知道load_token()函数行是怎样的：

    data = login_serializer.loads(token, max_age=max_age)

影响从用户模型生成的令牌，以及为什么要在路由上检查匹配，例如“/”或任意随机访问的任何路由。

是否需要设置权限限制，以使登录管理器不检查每条路径？

正如我所理解的，正在生成替代令牌，以便更安全地将会话cookie绑定到服务器端cookie，因为将比较服务器端cookie信息，这是基于get_auth_token可以看到的信息，它接受一些用户属性，并为令牌提供一个随机的安全字符串。

Answer 1

您每次在这里创建一个新的秘密：

from itsdangerous import URLSafeTimedSerializer
app.secret_key = gen_random_key()
login_serializer = URLSafeTimedSerializer(app.secret_key)

别干那事。为您的应用程序创建one秘密，并始终使用它。您的密钥使用此服务器端机密签名，然后当cookie从浏览器发送回时，再次用于验证内容未被更改。

如果每次更改该秘密，则以前生成的cookie将始终无效，因为它们将与新的秘密不匹配。

在应用程序配置中存储这个秘密。