Django JWT 令牌停用
Posted
技术标签:
【中文标题】Django JWT 令牌停用【英文标题】:Django JWT token deactivate 【发布时间】:2017-08-10 21:49:15 【问题描述】:我正在为一个 android 应用程序创建一个 API,我正在使用 Django Rest 框架 JWT 令牌进行 API 身份验证。在特定情况下,我想停用为特定用户激活的令牌。
【问题讨论】:
【参考方案1】:JWT 是无状态身份验证,这意味着它不会存储在服务器上的任何位置。当您在请求的标头中发送 JWT 令牌时,您的服务器只需检查令牌是否有效。 因此,您无法停用令牌 - 您只能在您的 Andriod 应用程序中删除它。 更多关于智威汤逊here。
【讨论】:
但是在这里我还面临另一个问题,即单用户凭证用户可以创建两个令牌,那么如何阻止呢? 你不能,jwt是无状态的。您可以拥有任意数量的令牌。您可以同时在多台设备上登录。 您可以设置较短的到期时间,然后根据需要刷新令牌(以延长到期时间)。因此,您可以为某些用户设置,如果他满足某些条件,您将不会刷新令牌。以上是关于Django JWT 令牌停用的主要内容,如果未能解决你的问题,请参考以下文章
每次使用 django-graphql-jwt 生成新令牌时,如何撤销 JWT?