Итак, я только что узнал, что сеанс Flask на самом деле не зашифрован , что-то победило всю мою схему аутентификации.
Я пытаюсь добиться следующего:
- Пользователь входит в систему, сервер отправляет файл cookie сеанса со своим именем пользователя
- Сервер видит электронную почту пользователя в сеансе и больше не запрашивает учетные данные, пока не истечет срок действия файла cookie.
Но это имеет классическую проблему, если пользователь меняет свой пароль, если кто-то злонамеренно получил пароль этого пользователя, его сессия не будет аннулирована этим изменением пароля.
Поэтому, подумав, я подумалрешения: каждые 5 минут (или около того) сервер обновляет сеанс, проверяя, изменил ли пользователь свой пароль.
Теперь проблема, как сервер может проверить, изменил ли пользователь свой пароль?
Единственное решение, которое я придумал, - это сохранение пароля пользователя в сеансе cookie, но нужно ли его хранить в том же хеше, что и база данных?
Или есть другой способ решить проблему сброса пароля, не обращаясь к базе данных при каждом запросе?
И как я могу на самом деле обезопасить свои cookie-файлы сеанса Flask? Или мне не нужно?
Обратите внимание, я не собираюсь использовать какие-либо плагины для фляг