我正在尝试编写一个基本的 Flask 应用程序来限制用户可以拥有的事件登录次数,就像 Netflix 一样。我现在使用以下策略:
- 使用 Flask_Security
- 为我的
User类存储一个active_login_count字段。 - 每次完成成功的登录请求时,应用都会将
active_login_count加 1。如果这样做使计数大于限制,它会调用logout_user()相反。
这是一个糟糕的解决方案,因为如果用户失去她的 session (关闭隐身模式而不注销),应用程序无法减少她的登录计数,因此,以后的登录将被阻止。
一种解决方案是将 session 存储在服务器上,但我不知道如何验证有效 session 。 Flask_Sessions 是我正在研究的东西,但我不知道如何限制事件 session 的数量。
据我了解,在默认配置下,Flask 会在每次请求时生成新的 session cookie,以防止 CSRF 攻击。我该怎么做?
最佳答案
我可能有几种方法可以解决这个问题,但没有一种方法可以在简单性和有效性之间取得很好的平衡:
一种方法是向您的用户添加一个last_seen 字段。选择一些可以用作启发式的任意数字来确定某人是否“活跃”。事件中任何足够长的间隔都可能触发 active_login_count 的重置。这显然有许多明显的漏洞,我目前看到的最大漏洞是,用户可以简单地协调登录并可能在您的应用程序不知情的情况下建立无限数量的事件 session 。遗憾的是,人类通常倾向于使用类似的“逻辑”机制来度过他们的一生;但我离题了……
您可以通过尝试跟踪用户的事件 IP 地址来使这种方法更加复杂。添加一个 active_ips 字段并填充 (n) 个 ips 列表,可能还有一些浏览器信息等,以尝试对用户的设备进行指纹识别并以这种方式进行管理。
另一种方法是使用外部服务,例如 Redis 实例甚至数据库。创建最多 (n) 个 session ID,这些 session ID 在 http header 中传递,并且每次调用 api 时都会检查这些 ID。没有事件的 session ID,或者如果下一个 session ID 将构成违约,则无法访问该应用程序。然后,您只需定期清除这些 session ID 即可使它们保持最新。
希望这能给您一些有用的想法。
关于python - 如何限制 Flask 中的事件登录数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41124843/