重置密碼時刪除所有用戶的Cookie /會話

Question

我對提高我的TurboGears 2.2應用程序的安全性感興趣，以便當用戶更改密碼時，會將其從所有會話中註銷，並且必須再次登錄。目標是當用戶在瀏覽器1上更改密碼時，他也必須在瀏覽器2上登錄。實驗表明，情況並非如此，特別是如果瀏覽器2啓用了「記住我」功能。

它是使用repoze.who的標準快速啓動應用程序。看起來也許我需要改變AuthTktCookiePlugin，但是沒有辦法做到這一點，沒有太多重新佈線。

Answer 1

存儲最後一次密碼的時間戳在request.identity['userdata']內部發生了變化時，如果與上次密碼更改爲真實的時間不同，則只要用戶回來並將其註銷，就可以檢查該密碼。