JWT失效方式---------django rest framework jwt

最新推荐文章于 2024-05-25 00:06:06 发布
最新推荐文章于 2024-05-25 00:06:06 发布
阅读量3.2k 收藏 9
点赞数 4
分类专栏: django 文章标签: jwt失效 时效机制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33042187/article/details/83347337
版权
  • 前因

项目通过 drf jwt 来实现用户的验证,在登出和异设备登入的时候都需要旧的jwt失效,但是drf jwt没有内置失效方法,所以通过JWT_GET_USER_SECRET_KEY的修改来使之前的user jwt 失效

  • 原理

首先我们得了解jwt是通过加解密实现的一种用户验证方式,所以我们能够通过添加JWT_GET_USER_SECRET_KEY,通过一个方法 jwt_get_secret_key使用不同的秘钥加密,来生成不同的token

  • 代码

这里的user_secret是指 usermodel中新建的一个字段 当识别到异设备登入或者 登出的时候 修改 user 的 user_secret

user_secret = models.UUIDField(default=uuid4, verbose_name='用户jwt加密秘钥')

fresh_jwt.py

def jwt_get_secret_key(user_model):
    return user_model.user_secret

setting.py 通过调用上面的方法来实现

JWT_AUTH = {
    'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=5),
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=5),
    'JWT_AUTH_HEADER_PREFIX': 'JWT',
    'JWT_GET_USER_SECRET_KEY': 'app_utils.fresh_jwt.jwt_get_secret_key',
}

这里我们先讲一下 当只允许一个设备登入的时候,如何让前一个设备jwt失效的方式
我们通过设置俩个中间件来实现
setting.py 中添加 ‘middleware.login_middleware.ValidTokenMiddleware’,

MIDDLEWARE_CLASSES = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    'middleware.login_middleware.ValidTokenMiddleware',
]

注:django1.9的middleware写法

Login_middleware.py

from uuid import uuid4

from django.http import HttpResponse
from jwt import InvalidSignatureError
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.serializers import VerifyJSONWebTokenSerializer


# 1.每次登录 response 处理 记录 jwt
# 2.每次请求判断 jwt是否与表中相等(相当于 用户 异设备登录获取了新的jwt)  不等 就修改uuid


class ValidTokenMiddleware(object):
    def process_request(self, request):
    # 用于处理 所有带 jwt 的请求
        jwt_token = request.META.get('HTTP_AUTHORIZATION', None)
        if jwt_token is not None and jwt_token != '':
            data = {
                'token': request.META['HTTP_AUTHORIZATION'].split(' ')[1],
            }
            try:
                valid_data = VerifyJSONWebTokenSerializer().validate(data)
                user = valid_data['user']
            except (InvalidSignatureError, ValidationError):
                # 找不到用户
                return HttpResponse("{'msg','请重新登入'}", content_type='application/json', status=400)
            if user.user_jwt != data['token']:
                user.user_secret = uuid4()
                user.save()
                return HttpResponse("{'msg','请重新登入'}", content_type='application/json', status=400)

    def process_response(self, request, response):
    # 仅用于处理 login请求
        if request.META['PATH_INFO'] == '/login/':
            rep_data = response.data
            valid_data = VerifyJSONWebTokenSerializer().validate(rep_data)
            user = valid_data['user']
            user.user_jwt = rep_data['token']
            user.save()
            return response
        else:
            return response

至于登出接口的实现
在设计的时候直接修改对应用户的user.user_secret = uuid4()

from uuid import uuid4

def logout(request):
	user =  request.user
	user.user_secret = uuid4()
	user.save()
懒是动力之源
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Django中应用jwt进行身份校验token
qq_44614115的博客
02-23 1600
本文记录了Django如何应用jwt进行身份校验token
drf simple-jwt 验证失败
zswdhy的博客
02-03 719
simple-jwt 401错误,求指教
Django内置用户认证JWT的使用
最新发布
haiming0415的博客
05-25 1028
什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC 7519.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。起源说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。
django drf基于rest_framework_simplejwt实现登录获取token、检验token,token使用
热门推荐
亚索的博客
02-17 3万+
django drf token相关
Django DRF - JWT Token认证使用
Mr_WoLong
04-21 794
Django DRF - JWT Token认证使用
JWT主动校验Token是否过期
詹Sir的博客
08-04 5197
JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案
restapi-jwt-php-mysql
02-06
标题 "restapi-jwt-php-mysql" 指示了一个基于 PHP、MySQL 和 JSON Web Tokens (JWT) 的 RESTful API 开发教程。REST API(Representational State Transfer)是一种设计网络应用和服务的方式,允许客户端和服务器...
django-rest-api-jwt-authentication:django rest框架,带有自定义用户的简单jwt auth
04-15
django-rest-api-jwt-authentication django rest框架,带有自定义用户的简单jwt auth专案要求* Python * Django套件安装转到博客所在的项目文件夹(使用控制台,使用cd命令),然后执行以下命令。 创建虚拟环境并...
spring-security-jwt-demo.zip
11-19
《Spring Security与JWT整合实战详解》 在现代Web应用程序中,安全性和..."spring-security-jwt-demo"项目提供了一个具体的实现示例,可以帮助开发者更好地理解和应用这些概念,为构建安全的Web应用程序提供有力支持。
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
在本项目中,我们主要探讨的是如何利用Spring Boot、Spring Security、JWT(JSON Web Tokens)、MyBatis-Plus以及MySQL数据库来构建一个完整的权限管理系统。下面将详细解析这些技术及其在项目中的应用。 1. Spring...
django-ariadne-jwt:Django中Ariadne的JWT身份验证
05-23
Django Ariadne JWT 支持基于JWT的身份验证,以与在项目中运行的 graphql库一起使用。 它在很大程度上受到启发。 安装 pip install django-ariadne-jwt 如何使用 django-ariadne-jwt旨在易于安装和使用。 首先将...
【实战项目】Django-Vue003---实战练习(修改token过期时间)
初遇我ㄖ寸の热情呢?
12-07 354
建表 urls.py view.py 上面的登录就写完了下面来搞这些: 有管理员登陆后可以新增,删除车型,车厂,经销商 普通用户登陆可以查看车型(群查分页,单查) 查车型:返回车型信息,车厂名字,经销商名字和电话 先不搞权限,先把增删查改的接口搞定 下面再看这个功能:普通用户登陆可以查看车型(群查分页,单查) 查车型:返回车型信息,车厂名字,经销商名字和电话 验证一下上面的功能 Django跨域问题建一个文件middle.py 下面
JWT token无效invalid signature
qq_40202812的博客
08-20 1万+
django+ JWT 生成发token无效 请求需要验证的接口,返回 invalid signature 我的user模型是这样的 后面看https://www.jianshu.com/p/f0a55f39dfa8链接说,jwt生成token时默认是需要用到username,并且username需要保证唯一,或者重写UserManager的get_by_natura...
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 4209
django 使用jwt token的东西来进行认证
django jwt token认证rest_framework_jwt的refresh token有效期
hhhhh11的博客
09-11 3373
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstoken 和 refreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
SECRET_KEY的重要性
lendq的Blog
12-02 2万+
SECRET_KEY SECTET_KEY 在 django在加密,安全方面都有很突出的用处 json object的签名 SELECT_KEY作用本质上是一个加
后端页面登录功能(拦截器+JWT令牌技术)
NewTonyStark的博客
05-28 607
*** 配置类,注册web层相关组件*/@Slf4j//管理端拦截器@Autowired//用户端拦截器@Autowired/*** 注册自定义拦截器*/log.info("开始注册自定义拦截器...");
如何使jwt生成的 token在用户登出之后失效?
Gavin
08-02 2162
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登出,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登出而不想影响其他设备的登录,此时就要将登出的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登出之后失效?
SpringCloud Alibaba 实战 - 如何让 jwt token 主动失效
wdjnb的博客
01-19 3725
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud al
django-rest-framework-simplejwt
03-16
django-rest-framework-simplejwt是一个基于Django REST framework的JSON Web Token(JWT认证库。它提供了简单易用的API,可以轻松地将JWT认证集成到Django REST framework应用程序中。使用它可以快速构建安全的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值