Flask-Security中基于令牌的密码重置功能的说明

Question

有人可以告诉我在flask-security的密码重置令牌中发生的事情吗？代码在github上:

https://github.com/mattupstate/flask-security/blob/develop/flask_security/recoverable.py

(目录中可能还有其他部分.)

我对正在发生的事情的理解:

1. 在forgot_password()定义的路由中,用户提交表单以重置密码
2. 生成"reset_password_token".这包括用户的ID +用户当前(存储加密)密码的md5()？
3. 生成包含令牌的重置密码地址的链接.
4. 此链接通过电子邮件发送到user.email提供的地址
5. 当用户单击该链接时,它们将转到路径(在视图中定义),即reset_password(令牌).标记值是此路由的参数.
6. 路由评估令牌是否有效且未过期.
7. 如果是这样,此路由将呈现一个表单,要求输入新密码ResetPasswordForm().

那是对的吗？

也:

1. 如果以上是正确的,那么令牌包含当前密码的新md5()是否安全？我知道逆转应该是独一无二且代价高昂的,但仍然如此？
2. 存储的到期日期在哪里？

我最特别地对generate_password_reset函数感到困惑

data = [str(user.id), md5(user.password)] return _security.reset_serializer.dumps(data)

和

get_token_status(token, 'reset', 'RESET_PASSWORD') 功能里面 reset_password_token_status(token)

Answer 1

它使用itsdangerous模块来序列化令牌。如果您在下面阅读有关它的更多信息，您将获得有关如何使用到期时间戳等的答案。

http://packages.python.org/itsdangerous/

该函数serializer.dumps()创建一个唯一的序列化字符串，除非将确切的序列化值作为参数提供给它，否则serializer.loads()调用该字符串get_token_status将返回异常。

所以你dumps()然后使用它的返回值，你调用loads(). 如果不匹配，您有例外，在这种情况下意味着坏令牌。