我们如何知道用户是不是仍然在使用 VUE/Django/JWT？

Posted 2023-03-10

【中文标题】我们如何知道用户是不是仍然在使用 VUE/Django/JWT？

【英文标题】：How can we know if User still active with VUE/Django/JWT?我们如何知道用户是否仍然在使用 VUE/Django/JWT？

【发布时间】：2020-11-29 17:52:27

【问题描述】：

目前我使用rest_framework_jwt来管理认证过程，查了文档Django REST framework JWT refresh-token我在下面找到了这句话，

每次用户加载页面，你可以检查是否有 现有的未过期令牌，如果它即将过期，请刷新 它以延长他们的会议。换句话说，如果一个用户是积极的 使用您的网站，他们可以保持他们的“会话”活跃。

我的查询是，

如何知道用户仍然活跃？ 我们可以无限扩展这个“活动”状态吗？看起来最大刷新时间是：'JWT_EXPIRATION_DELTA' + 'JWT_REFRESH_EXPIRATION_DELTA'

配置：前端：VUE；后端：Django；后端 API：DRF

【参考方案1】：

我的建议：

当用户登录时，用户+密码会被发送到服务器，一旦验证，就会生成一个令牌并存储在服务器上并发送回客户端。

客户端收到令牌后，将其存储在本地存储中。

从那时起，每次用户向服务器发出请求时，都会将令牌附加到请求中。在服务器端，检查传入请求中的令牌，并使用服务器已经拥有的内容对其进行验证。

如果token有效，则执行后端流程。

但是，令牌通常应该是短暂的（几个小时）。这一般应该带有一个“刷新令牌”，一个刷新令牌用于刷新访问令牌并且一般是长寿命的（几个月）。

【讨论】：

感谢 Kelvin 的建议。这里有一个问题，“每次用户向服务器发出请求”，有没有比“每次”更好的解决方案？除此之外，也许某些用户活动不需要“Auth”，他们还需要发送令牌吗？

嗨 Kumar，对于那些需要保护的端点，每次发出请求时都需要进行身份验证。因为后端需要确保来自经过身份验证的用户的请求有效。还有一些端点对匿名请求开放，对于那些，不需要检查令牌。因此，对于 Django，对于每个 API，您可能希望使用一些预定义的权限进行验证：is_anonymous、is_valid_user、is_admin 等。

感谢开尔文。您认为我们最好从前端还是后端触发“refreshToken”？

刷新令牌用于获取新的访问令牌（vs访问令牌用于获取资源）。在大多数情况下，访问令牌也会带有到期日期，因此从前端，Vue.js 应用程序将检查访问令牌是否已过期，如果已过期，它将使用刷新令牌来检索新的访问令牌 - 这个过程是通常默默地完成。如果过程失败（因为刷新令牌也已过期，因此无法获取新的访问令牌），则需要用户再次登录。

感谢Kelvin，由于目前我的声望不到15，所以不能投票，请理解。 “声望低于 15 人的投票将被记录，但不会更改公开显示的帖子得分。”