Каки есть способы защиты от мультилогина на сайт?

Question

[Elvis]

Использую Flask в качестве бекэнда. На сайт логинятся по email. Этот email заносится в сессию
session['email'] = request.form.get('email')
Мне нужно предотвратить логин под одним и тем же email в разных вкладках, браузерах, устройствах.
Для этого предполагаю такую логику: когда пользователь логинится система проверяет нет ли среди сессий данный майл и, если есть, удалять все сессии и разлогинить кроме этой, новой.
Однако не могу найти где можно выбрать не текущую сессию, а остальные. для текущей сессии при разлогинивании использую такую конструкцию:

del session['email']
logout_user()

Но это по текущей сессии. можно ли по значению выцепить все сессии? или есть другой подход по подобной защите? что почитать?

Comments

[Elvis]

Dr. Bacon, пишу игру и не нужно чтобы могли в несколько вкладок играть с одного аккаунта.

[Elvis]

Dr. Bacon, думал об этом, но явно всё не учесть и точно могут возникнуть баги\дьюпы, поэтому хотел положиться на готовое решение фреймворка

[Рамис]

Для этого предполагаю такую логику: когда пользователь логинится система проверяет нет ли среди сессий данный майл и, если есть, удалять все сессии и разлогинить кроме этой, новой. Однако не могу найти где можно выбрать не текущую сессию, а остальные.

Это не ответ на главный вопрос, но все же думаю Вам будем полезно знать, как реализовать logout пользователя если он авторизовался в другом браузере или устройстве.

1. После того как пользователь авторизовался на сайте, генерируем для него случайный UUID и записываем его в базу данных, и в сессию. Простой пример, для демонстрации:

@app.route("/login")
def login():
    email = request.form.get('email')
    code = uuid4().hex
    session['email'] = f'{email}_{code}'
    fake_db.query.filter_by(email=email).update({'code': code})

2. На каждый запрос к сайту, мы проверяем актуальность UUID пользователя (сравниваем UUID сессии с UUID в базе данных). Простой пример:

@app.route("/manager")
def manager():
    user = session['email']
    email, code = user.split('_')
    if fake_db.query.filter_by(email=email, code=code).first()
        return user
    else:
        session.pop('email')
        return 'logout'

Когда пользователь залогиниться в другом устройстве, его uuid в базе данных обновиться, и ранее созданные сессия не пройдет проверку.

[Elvis]

Рамис, спасибо! По поводу UUID так и делаю, для краткости сам вопрос упростил. При логине генерирую UUID и храню его, только не в базе, а в redis, чтобы уменьшить количество запросов к базе. Единственное что я этот UUID использую для сокетов, но не делаю проверку равенства из сессии и из редиса. Думаю можно реализовать проверку в виде декоратора и вешать его везде где необходима авторизация. Попробую.