邮件中提供密码重置链接,连接中含token,由token生成器产生。
token生成器可以是jwt:
>>> import jwt
>>> token = jwt.encode({'a': 'b'}, 'my-secret', algorithm='HS256')
>>> token
b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhIjoiYiJ9.dvOo58OBDHiuSHD4uW88nfJikhYAXc_sfUHq1mDi4G0'
>>> jwt.decode(token, 'my-secret', algorithms=['HS256'])
{'a': 'b'}
jwt token的有效载荷并不保密...哪怕不知道'my-secret'也可以反推...
但是有效载荷无法伪造,因为要经过签名,篡改过签名无法验证,因为含秘钥
重置密码:
1)password_reset_request:先验证是否已登录,然后get发表单,post验证用户是否存在
2)post验证成功后发邮件,定向到password_reset_done
3)password_reset:先验证是否已登录,然后验证token,再然后get发表单,post验证表单保存新密码
4) post验证成功后,定向到password_reset_complete
[Flask]
password_reset_done和password_reset_complete,直接用了index页,偷懒。
177 def reset_password_request():
178 if current_user.is_authenticated:
179 return redirect(url_for('index'))
180
181 form = ResetPasswordRequestForm()
182 if form.validate_on_submit():
183 user = User.query.filter_by(email=form.email.data).f