0

我有兴趣提高我的 TurboGears 2.2 应用程序的安全性,以便当用户更改他的密码时,它将他从所有会话中注销并且他必须再次登录。目标是当用户在浏览器 1 上更改密码时,他也必须在浏览器 2 上重新登录。实验表明情况并非如此,尤其是在浏览器 2 启用了“记住我”的情况下。

这是使用 repoze.who 的标准快速启动应用程序。看来我可能需要更改 AuthTktCookiePlugin,但如果不进行大量重新布线,就没有办法做到这一点。

4

1 回答 1

1

将上次更改密码的时间戳存储在内部request.identity['userdata']应该可以在用户返回时检查它,如果它与上次更改密码的时间不同,则将其注销。

于 2012-11-25T13:43:38.867 回答