有人可以告诉我在flask-security的密码重置令牌中发生的事情吗?代码在github上:
https://github.com/mattupstate/flask-security/blob/develop/flask_security/recoverable.py
(目录中可能还有其他部分.)
我对正在发生的事情的理解:
>在forgot_password()定义的路由中,用户提交表单以重置密码
>生成“reset_password_token”.这包括用户的ID和用户当前(存储加密)密码的md5()?
>生成包含令牌的重置密码地址的链接.
>此链接通过电子邮件发送到user.email提供的地址
>当用户单击该链接时,它们将转到路径(在视图中定义),即reset_password(令牌).标记值是此路由的参数.
>路由评估令牌是否有效且未过期.
>如果是,则此路由呈现一个表单,要求输入新密码ResetPasswordForm().
那是对的吗?
也:
>如果以上是正确的,那么令牌包含当前密码的新md5()是否安全?我知道逆转应该是独一无二且代价高昂的,但仍然如此?
>存储的失效日期在哪里?
我最特别地对generate_password_reset函数感到困惑
data = [str(user.id),md5(user.password)]
return _security.reset_serializer.dumps(data)
和
reset_password_token_status(令牌)中的get_token_status(token,’reset’,’RESET_PASSWORD’)函数
http://packages.python.org/itsdangerous/
函数serializer.dumps()创建一个唯一的序列化字符串,并且get_token_status调用的serializer.loads()将返回异常,除非将精确的序列化值作为参数提供给它.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。