Le contenu d'un cookie signé avec Itsdangerous peut être inspecté mais pas modifié. Y a-t-il des problèmes de sécurité ou des considérations connus lors de l'utilisation de Itsdangerous pour la gestion de session côté client?Problèmes de sécurité avec Itsdangerous pour la gestion de session?
La session en question ne sera pas stocker les mots de passe, mais il est évident des informations pour identifier l'utilisateur, tels que
- ID utilisateur
- URL pour avatar
- Rôle utilisateur (s)
Dans une approche des points de terminaison de l'API REST, la chaîne signée est fournie par le serveur lors de la connexion avec un mot de passe et est envoyée avec chaque ID utilisateur avec une période d'expiration de X heures. La chaîne signée est également stockée sur le serveur. Lors de la déconnexion, la chaîne est supprimée du serveur. De cette façon, la chaîne (token) fonctionne comme un mot de passe temporaire pendant 2 heures (ou moins s'il y a une déconnexion). – Soferio