JWT失效方式---------django rest framework jwt

  • 前因

项目通过 drf jwt 来实现用户的验证,在登出和异设备登入的时候都需要旧的jwt失效,但是drf jwt没有内置失效方法,所以通过JWT_GET_USER_SECRET_KEY的修改来使之前的user jwt 失效

  • 原理

首先我们得了解jwt是通过加解密实现的一种用户验证方式,所以我们能够通过添加JWT_GET_USER_SECRET_KEY,通过一个方法 jwt_get_secret_key使用不同的秘钥加密,来生成不同的token

  • 代码

这里的user_secret是指 usermodel中新建的一个字段 当识别到异设备登入或者 登出的时候 修改 user 的 user_secret

user_secret = models.UUIDField(default=uuid4, verbose_name='用户jwt加密秘钥')

fresh_jwt.py

def jwt_get_secret_key(user_model):
    return user_model.user_secret

setting.py #通过调用上面的方法来实现

JWT_AUTH = {
    'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=5),
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=5),
    'JWT_AUTH_HEADER_PREFIX': 'JWT',
    'JWT_GET_USER_SECRET_KEY': 'app_utils.fresh_jwt.jwt_get_secret_key',
}

这里我们先讲一下 当只允许一个设备登入的时候,如何让前一个设备jwt失效的方式
我们通过设置俩个中间件来实现
setting.py 中添加 ‘middleware.login_middleware.ValidTokenMiddleware’,

MIDDLEWARE_CLASSES = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    # 'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'corsheaders.middleware.CorsMiddleware',
    'django.middleware.common.CommonMiddleware',
    'middleware.login_middleware.ValidTokenMiddleware',
]

注:django1.9的middleware写法

login_middleware.py

from uuid import uuid4

from django.http import HttpResponse
from jwt import InvalidSignatureError
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.serializers import VerifyJSONWebTokenSerializer


# 1.每次登录 response 处理 记录 jwt
# 2.每次请求判断 jwt是否与表中相等(相当于 用户 异设备登录获取了新的jwt)  不等 就修改uuid


class ValidTokenMiddleware(object):
    def process_request(self, request):
    # 用于处理 所有带 jwt 的请求
        jwt_token = request.META.get('HTTP_AUTHORIZATION', None)
        if jwt_token is not None and jwt_token != '':
            data = {
                'token': request.META['HTTP_AUTHORIZATION'].split(' ')[1],
            }
            try:
                valid_data = VerifyJSONWebTokenSerializer().validate(data)
                user = valid_data['user']
            except (InvalidSignatureError, ValidationError):
                # 找不到用户
                return HttpResponse("{'msg','请重新登入'}", content_type='application/json', status=400)
            if user.user_jwt != data['token']:
                user.user_secret = uuid4()
                user.save()
                return HttpResponse("{'msg','请重新登入'}", content_type='application/json', status=400)

    def process_response(self, request, response):
    # 仅用于处理 login请求
        if request.META['PATH_INFO'] == '/login/':
            rep_data = response.data
            valid_data = VerifyJSONWebTokenSerializer().validate(rep_data)
            user = valid_data['user']
            user.user_jwt = rep_data['token']
            user.save()
            return response
        else:
            return response


至于登出接口的实现

在设计的时候直接修改对应用户的user.user_secret = uuid4()
from uuid import uuid4

def logout(request):
	user =  request.user
	user.user_secret = uuid4()
	user.save()

你可能感兴趣的:(JWT失效方式---------django rest framework jwt)