DjangoRestFramework_JWT忽略自定义有效负载中的有效负载

时间:2020-01-29 05:15:07

标签: django django-rest-framework jwt django-rest-framework-jwt

我为jwt创建了此自定义jwt_payload_handler,以便可以识别密码。如果用户更改密码,我希望以前的令牌过期。但是,即使我有一个自定义处理程序,由于某些原因,在我更改用户密码或更改password_last_change字符串值后,drf jwt仍会忽略更改并仍然接受过去的标记。

我是否缺少其他配置?

jwt_payload_handler:

def jwt_payload_handler(user):
    username_field = get_username_field()
    username = get_username(user)
    password_last_change = user.password_last_change  # getting json not serializable error. constant string for now

    warnings.warn(
        'The following fields will be removed in the future: '
        '`email` and `user_id`. ',
        DeprecationWarning
    )

    payload = {
        'user_id': user.pk,
        'username': username,
        'password': user.password,
        'exp': (datetime.utcnow() +  api_settings.JWT_EXPIRATION_DELTA)  ,
        'password_last_change': 'test1',
    }
    if hasattr(user, 'email'):
        payload['email'] = user.email
    if isinstance(user.pk, uuid.UUID):
        payload['user_id'] = str(user.pk)

    payload[username_field] = username

    # Include original issued at time for a brand new token,
    # to allow token refresh
    if api_settings.JWT_ALLOW_REFRESH:
        payload['orig_iat'] = timegm(
            datetime.utcnow().utctimetuple()
        )

    if api_settings.JWT_AUDIENCE is not None:
        payload['aud'] = api_settings.JWT_AUDIENCE

    if api_settings.JWT_ISSUER is not None:
        payload['iss'] = api_settings.JWT_ISSUER

    return payload

1 个答案:

答案 0 :(得分:0)

我知道了。代替自定义jwt_payload_handler函数,我们需要在settings.py文件中设置JWT_GET_USER_SECRET_KEY值。默认情况下为None,但它接受将用户作为参数并返回uuid字符串的函数。如果未配置,则conf django秘密密钥将用于所有用户。但是,如果设置,每个用户将拥有自己的密钥。

更改密码后,还要更新uuid。

在用户模型中,我们可以将一些字段设置为:

class TestUser(AbstractBaseUser):
    jwt_secret = models.UUIDField(default=uuid.uuid4)

功能示例:

def jwt_get_secret_key(user_model):
    return user_model.jwt_secret 

在设置中:

JWT_AUTH = {
    ...
    'JWT_GET_USER_SECRET_KEY': 'path.to.jwt_get_secret_key'
    ...
}

因此在您的视图或信号中,调用set_password方法后: 您可以将user.secret_jwt设置为新值:

user.secret_jwt = uuid.uuid4()
user.save()

这会使先前的所有请求无效。