2
私は以前に発行されたトークンを取り消すことを許可していますが(はい、15分後に期限切れになるように設定されていますが)、 DRF-jwt。 SO上Django rest-framework-jwtを使ってトークンを取り消す
- 希望誰かアウトオブボックス;-)
- としてJTIのフィールドを使用してこれを行う方法を私が表示されます:
は今、私はいくつかのオプションを検討していますカウンター、および取り消し時には、jti> last jtiが必要です。
- 署名手続きにユーザレベルの塩を追加し、失効時にいくつかのRedis DB
で
は、Userモデルにjwt_issue_dt
を追加します。
ありがとうございます。このメソッドが複数のトークンをサポートしていないことを修正しましたか?私はあなたが '!='ではなく '><'でタイムスタンプを比較することができると思います。 – bavaza
はい。有効なトークンは1つだけ必要でした。しかし 'if iat_timestamp> payload ['iat']:raise'が動作するはずです。 – Raz