0

TurboGears 2.2アプリケーションのセキュリティを向上させて、ユーザーがパスワードを変更すると、すべてのセッションからログアウトし、再度ログインする必要があるようにすることに関心があります。目標は、ユーザーがブラウザー1でパスワードを変更したときに、ブラウザー2でも再ログインする必要があることです。実験によると、これは当てはまらないことがわかっています。特に、ブラウザ2で「rememberme」が有効になっている場合はそうです。

これは、repoze.whoを使用した標準のクイックスタートアプリです。AuthTktCookiePluginを変更する必要があるようですが、再配線せずに変更する方法がわかりません。

4

1 に答える 1

1

パスワードが最後に変更されたときのタイムスタンプを内部に保存するrequest.identity['userdata']と、ユーザーが戻ってきたときにそれを確認し、パスワードが実際に変更されたときと異なる場合はログアウトできるようになります。

于 2012-11-25T13:43:38.867 に答える