我正在使用django-rest-framework-simplejwt来获取access token
和refresh token
。
问题是,如果我更改用户密码,refresh token
不会变得无效。基本上,即使用户更改了密码,我也可以继续发送refresh token
并获取新的访问令牌。
我想要的是要求用户重新提交用户名和新密码,以获得新的一对access
和refresh tokens
。
我该怎么做?
PS:只是因为我很好奇,难道这不是图书馆的默认行为吗?在哪种情况下,凭证更改后,我们要保留refresh token
吗?
答案 0 :(得分:1)
我想出了如何使它工作的方法。
我所做的是放置一个信号,该信号跟踪是否更改了任何必需的参数。如果是这样,它将把与该用户关联的所有刷新令牌列入黑名单。
这是代码:
首先在已安装的应用中添加
'rest_framework_simplejwt.token_blacklist'
。然后:
@receiver(signals.pre_save, sender=User)
def revoke_tokens(sender, instance, update_fields, **kwargs):
if not instance._state.adding: #instance._state.adding gives true if object is being created for the first time
existing_user = User.objects.get(pk=instance.pk)
if instance.password != existing_user.password or instance.email != existing_user.email or instance.username != existing_user.username:
# If any of these params have changed, blacklist the tokens
outstanding_tokens = OutstandingToken.objects.filter(user__pk=instance.pk)
# Not checking for expiry date as cron is supposed to flush the expired tokens
# using manage.py flushexpiredtokens. But if You are not using cron,
# then you can add another filter that expiry_date__gt=datetime.datetime.now()
for out_token in outstanding_tokens:
if hasattr(out_token, 'blacklistedtoken'):
# Token already blacklisted. Skip
continue
BlacklistedToken.objects.create(token=out_token)
这段代码基本上要做的是,为用户获取所有未完成的令牌,然后将它们全部添加到黑名单中。您可以在此处获取有关未处理/列入黑名单的令牌的更多信息。 https://github.com/davesque/django-rest-framework-simplejwt#blacklist-app