flask的session机制

flask默认的是 client side session

Flask by default usesthe Werkzeug provided 'secure cookie' as session system. It works by picklingthe session data, compressing it and base64 encoding it.

flask用的secure cookie方式保存session, 即session数据是加密后保存在用户cookie里. secure cookie是flask唯一自带的session方案。

这很容易造成安全问题，如XSS盗取用户Cookie，而Cookie中有该用户登陆flask框架网站的session，就可以 用其身份登陆那个网站。

因此如果用flask session会话管理来实现单点登录，必须要使用服务端session，改进session方案。

基于Flask扩展：Flask-session 实现服务端Session

方法：

Server-side Sessions with Redis即redis 数据库：Redis 是一个高性能的key-value数据库

详细链接：

http://www.cnblogs.com/zhxhdean/p/4773627.html

其他server-side session扩展：

http://flask.pocoo.org/snippets/category/sessions/

http://flask.pocoo.org/snippets/75/