Open zouber opened 10 years ago
https://github.com/maxcountryman/flask-login --> 一個 python flask 的 session 套件,可以去看看別人怎麼去實做 Session
加密的 lib: bcrypt --> 會產生難以還原的加密字串,且同一字串每次加密產生的字串都不同
目前對於 Session 初步的設計如下:
如果有人盜用這個 hash 值,那他能夠盜用的時間就只有此 session 過期前,一旦過期就必須重新認證,那時就算 session 正確也不會通過身份認證
同理延伸到 api 的安全性,往後 api 也必須走這樣的機制,帶上 hash 值(類似 access token),且 hash 值要對應到正確的 user 才行(而不是像現在 uid 帶什麼我們就認為是誰),否則不執行操作
http://www.codecoffee.com/articles/session1.html
https://github.com/maxcountryman/flask-login --> 一個 python flask 的 session 套件,可以去看看別人怎麼去實做 Session
加密的 lib: bcrypt --> 會產生難以還原的加密字串,且同一字串每次加密產生的字串都不同