我在用Flask-login with remember=False(唯一的 cookie 是session曲奇饼)。复制粘贴时session cookie 注销后,由于某种原因,会话仍然有效并且用户已登录。即使注销的会话已在flask logout_user()函数 - 意味着["user_id"]已从session字典。看起来会话是从旧的 cookie 恢复的。有人可以解释一下吗?
我对此还没有一个正确的答案,因为我自己正在调查这个问题,但我想在这里提出几点:
Flask-login 中的 logout_user() 似乎并没有真正使会话失效。它只是更改客户端(浏览器)中“会话”cookie 的值。而在后台,这个会话仍然存在。
证明这一点的实验是:(一个简单的浏览器插件,例如Cookie管理器可用于执行此练习)
- 登录应用程序
- 成功登录后记下“会话”cookie 的值
- 现在注销
- 现在再次观察“会话”cookie 的值。你会
请注意它现在已经改变了。
- 将此值替换为之前记录的“session”cookie 的值
在上面的步骤 1 中。
- 尝试再次访问内部经过身份验证的页面。
Result:您无需重新登录即可成功查看内部页面,证明 logout_user() 从未真正使会话失效,而只是更改了客户端中的“会话”cookie。
然而,我自己仍在研究Flask-login logout_user() 定义 https://flask-login.readthedocs.io/en/latest/_modules/flask_login/utils.html#logout_user并试图理解它。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
