有人可以告诉我在flask-security的密码重置令牌中发生的事情吗?代码在github上:
https://github.com/mattupstate/flask-security/blob/develop/flask_security/recoverable.py
(目录中可能还有其他部分.)
我对正在发生的事情的理解:
>在forgot_password()定义的路由中,用户提交表单以重置密码
>生成“reset_password_token”.这包括用户的ID和用户当前(存储加密)密码的md5()?
>生成包含令牌的重置密码地址的链接.
>此链接通过电子邮件发送到user.email提供的地址
>当用户单击该链接时,它们将转到路径(在视图中定义),即reset_password(令牌).标记值是此路由的参数.
>路由评估令牌是否有效且未过期.
>如果是,则此路由呈现一个表单,要求输入新密码ResetPasswordForm().
那是对的吗?
也:
>如果以上是正确的,那么令牌包含当前密码的新md5()是否安全?我知道逆转应该是独一无二且代价高昂的,但仍然如此?
>存储的失效日期在哪里?
我最特别地对generate_password_reset函数感到困惑
data = [str(user.id),md5(user.password)]
return _security.reset_serializer.dumps(data)
和
reset_password_token_status(令牌)中的get_token_status(token,’reset’,’RESET_PASSWORD’)函数
http://packages.python.org/itsdangerous/
函数serializer.dumps()创建一个唯一的序列化字符串,并且get_token_status调用的serializer.loads()将返回异常,除非将精确的序列化值作为参数提供给它.
所以你转储()然后使用它的返回值,你调用loads().如果不匹配,则您有异常,在这种情况下意味着令牌不良.