restframework-jwt所遇到坑

打算用这货来代替DRF自带的TokenAuth，原因是用JWT可以实现登录/注销功能。
然而它这两条默认设置让我摸不着头脑：

    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300),
    'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7),

按照它文档所述：
JWT_EXPIRATION_DELTA表示issue出去的token多久过期，默认是5mins；
JWT_REFRESH_EXPIRATION_DELTA表示某个token被issue出去后，在多久间隔内可以用它来刷新以便获取新的token，默认是7天。它的原文描述长这样：（如果我理解有误，请告诉我，我的英文不太好）

Limit on token refresh, is a datetime.timedelta instance. This is how
much time after the original token that future tokens can be refreshed
from.

Default is datetime.timedelta(days=7) (7 days).

根据这两个默认设置项，一个token被发布出去后，5分钟内便会过期，7天内可以用来刷新获得新token，似乎没啥子问题，然而问题来了，文档中关于Refresh Token一节明确说明：Note that only non-expired tokens will work. 于是实际情况就变成：一个token发布出去后，5分钟内可以用来刷新获得新token，5分钟后就不能用来刷新获得新token了（报HTTP 400错误）。天了噜，确定这个默认行为不是在开玩笑？你说那个7天的设置有什么卵用没？

显然不是我一个人觉得被坑了，请看这个讨论：
https://github.com/GetBlimp/django-rest-framework-jwt/issues/92#issuecomment-212846352

解决方案？
这个答案似乎有参考价值

---

追加更新：
经过不断测试和再三查看文档，上面的结论理解有误，更正如下：

JWT_REFRESH_EXPIRATION_DELTA的确切含义是自从原始token被发布出去后，多长时间范围内它以及它的子孙token可以被用来刷新以获得新的子孙token。
原始token，指的是通过用户名/密码验证后获得的token（即obtain_jwt_token接口返回的token），原始token刷新后获得的token1，以及token1继续刷新获得的token2、token2再获得token3……形成了一串token链，这些token的过期时间都是JWT_EXPIRATION_DELTA。
然而这串token链不可能一直无限制刷新下去，直到原始token发布后的JWT_REFRESH_EXPIRATION_DELTA后，刷新操作将被终止，框架会返回HTTP 400。之后必须再次调用obtain_jwt_token来获得新的原始token。

再回到5mins + 7days的默认设置上来，客户端首先调用obtain_jwt_token进行登录操作，之后必须每隔小于5分钟就刷新一次token，才能保证不掉线。然而即使一直保持在线，上限也只有7天，7天过后必须重新登录，这才是5mins + 7days的确切含义。

显而易见，这种默认策略如果用在手机客户端上，是很不合适的。客户端如果置后台超过5分钟，再回去就得重新登录；就算一直在前台，连续用7天后还是得重新登录。也难怪乎那么多人会无法理解这一组设置的真正用意了。

我目前在客户端上准备采用30days + 360days的做法，只要一个月内使用一次app，就不用重新登录，最长可以一年不用重新登录。

转自https://laoyur.com/archives/173