У меня есть приложение flask, работающее в производственной среде, и один из пользователей запросил сброс пароля, который отправил им электронное письмо со ссылкой на сайт для сброса пароля.
Возможно, это письмо было передано третьей стороне, и ссылка стала доступной. Теперь запрос на сброс спам с нескольких IP-адресов. Я установил таймер с помощью параметра конфигурации SECURITY_RESET_PASSWORD_WITHIN на 30 минут, и я вижу, что он работает, как задумано, ссылка недействительна и выдает ошибку, сообщающую, что срок действия ссылки истек.
Но поведение по умолчанию пакета Flask -Security состоит в том, чтобы повторно отправлять пользователю электронное письмо о сбросе, если срок действия токена истек при выполнении запроса GET на страницу сброса с токеном с истекшим сроком действия. Таким образом, кто-то может продолжать рассылать спам по этой просроченной ссылке, используя GET / reset / token_id , и пользователь продолжает получать отправленные электронные письма о сбросе.
Как правильно справиться с этой ситуацией?