有人可以告诉我在flask-security的密码重置令牌中发生的事情吗？代码在github上：

https://github.com/mattupstate/flask-security/blob/develop/flask_security/recoverable.py

(目录中可能还有其他部分.)

我对正在发生的事情的理解：

>在forgot_password()定义的路由中,用户提交表单以重置密码
>生成“reset_password_token”.这包括用户的ID和用户当前(存储加密)密码的md5()？
>生成包含令牌的重置密码地址的链接.
>此链接通过电子邮件发送到user.email提供的地址
>当用户单击该链接时,它们将转到路径(在视图中定义),即reset_password(令牌).标记值是此路由的参数.
>路由评估令牌是否有效且未过期.
>如果是,则此路由呈现一个表单,要求输入新密码ResetPasswordForm().

那是对的吗？

也：

>如果以上是正确的,那么令牌包含当前密码的新md5()是否安全？我知道逆转应该是独一无二且代价高昂的,但仍然如此？
>存储的失效日期在哪里？

我最特别地对generate_password_reset函数感到困惑

data = [str(user.id),md5(user.password)]
    return _security.reset_serializer.dumps(data)

和

reset_password_token_status(令牌)中的get_token_status(token,’reset’,’RESET_PASSWORD’)函数