pramid.security.remember安全嗎？

Question

我想知道這是否安全，我不知道記憶是如何工作的。如果我通過忘記註銷，我仍然可以在瀏覽器中查看auth_tkt cookie，所以我認爲它不像加密user_id那樣簡單，並將它們存儲在cookie中，是嗎？

編輯：
我的登錄代碼：

headers = remember(request,user.userId) 
return HTTPFound(location="/",headers=headers) 

註銷代碼：

headers = forget(request) 
return HTTPFound(location="/login",headers=headers) 

Answer 1

pyramid.security.remember使用HMAC簽署餅乾這使得它接近防篡改。 http://en.wikipedia.org/wiki/Hmac

關於您關於忘記的問題，您是否將沒有cookie的新請求傳遞給標題？

headers = forget(request) 
return HTTPFound(location = request.route_url('home'), 
       headers = headers) 

http://docs.pylonsproject.org/projects/pyramid/en/1.3-branch/tutorials/wiki2/authorization.html#adding-login-and-logout-views

而且它幫助，如果你告訴我們，你已經嘗試了什麼，也許包括你登出視圖代碼