6

有人可以告诉我烧瓶安全的密码重置令牌中发生了什么吗?代码在github上:

https://github.com/mattupstate/flask-security/blob/develop/flask_security/recoverable.py

(目录中可能还有其他部分。)

我对正在发生的事情的理解:

  1. 在 forgot_password() 定义的路由中,用户提交表单以重置密码
  2. 生成“reset_password_token”。这由用户的 ID + 用户当前(存储加密)密码的 md5() 组成?
  3. 生成指向包含令牌的重置密码地址的链接。
  4. 此链接通过电子邮件发送到 user.email 提供的地址
  5. 当用户单击该链接时,他们会转到一条路线(在视图中定义),即 reset_password(token)。令牌值是此路由的参数。
  6. 该路由评估令牌是否有效且未过期。
  7. 如果是这样,则此路由会呈现一个要求输入新密码的表单,即 ResetPasswordForm()。

那是对的吗?

还:

  1. 如果上面是正确的,让令牌包含当前密码的新 md5() 是否安全?我知道它应该是独一无二的,而且逆转成本很高,但仍然如此吗?
  2. 有效期存储在哪里?

我对 generate_password_reset 函数特别感到困惑

data = [str(user.id), md5(user.password)] return _security.reset_serializer.dumps(data)

get_token_status(token, 'reset', 'RESET_PASSWORD')内部函数reset_password_token_status(token)

4

1 回答 1

5

它正在使用itsdangerous模块序列化令牌。如果您在下面阅读更多相关信息,您将获得有关如何使用过期时间戳等的答案。

http://packages.python.org/itsdangerous/

该函数serializer.dumps()创建一个唯一的序列化字符串,除非将确切的序列化值作为参数提供给它,否则serializer.loads()调用它会返回异常。get_token_status

因此,您dumps()然后使用其中的返回值,调用loads(). 如果不匹配,则您有异常,在这种情况下意味着错误的令牌。

于 2012-12-17T18:16:30.670 回答