0

首先,我是新手,django-rest-framework如果我错了,请原谅。

我正在与用户合作django-rest-authdjango-restframework-jwt对其进行身份验证。jwt每次用户登录时,我都会将令牌保存在 localStorage 中。

我现在面临的问题是,当我在两个浏览器中使用相同的凭据登录,然后在其中一个浏览器中更改密码时,另一个帐户仍然有效,即使密码已更改,用户仍然可以导航和查看所有页面.

我想JWT在他更改密码时使他的令牌无效,以便他自动注销。但我在官方文档中找不到让他的令牌过期的方法Django REST framework JWT

我试图通过为用户手动生成一个新的 JWT 令牌来跟踪更改密码的时刻,但这不起作用(可能是因为现有令牌仍然有效)

@receiver(signals.pre_save, sender=User)
def revoke_tokens(sender, instance, **kwargs):
    existing_user = User.objects.get(pk=instance.pk)

    if getattr(settings, 'REST_USE_JWT', False):
        if instance.password != existing_user.password:
            # If user has changed his password, generate manually a new token for him
            jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
            jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
            payload = jwt_payload_handler(instance)
            payload['orig_iat'] = timegm(datetime.utcnow().utctimetuple())
            instance.token = jwt_encode_handler(payload)

在阅读了一些文档和帖子之后,这似乎并不容易,jwt因为它是无国籍的,但是有人可以指出我要去哪里吗?

我应该删除JWT身份验证吗?

是否有解决方法可以帮助我解决这个问题?

非常感谢。

编辑:

我在@Travis关于 SO 的类似帖子中发现了一条评论,指出

当用户更改密码时,使令牌失效的一种常用方法是使用密码的哈希对令牌进行签名。因此,如果密码更改,任何以前的令牌都会自动验证失败。您可以通过在用户记录中包含上次注销时间并使用上次注销时间和密码哈希的组合来对令牌进行签名,从而将其扩展到注销。每次您需要验证令牌签名时,这都需要进行数据库查找,但大概您正在查找用户

我正在尝试实现这一点。如果可行,我将更新我的帖子。否则,我仍然愿意接受建议。

4

2 回答 2

1

经过几天的工作,我最终通过JWT_PAYLOAD_HANDLER在令牌的有效负载中覆盖并添加用户密码哈希的最后一位JWT(因为在有效负载中添加所有密码哈希不是一个好习惯),然后创建一个custom middleware拦截所有请求。

在每个请求中,我都会检查jwt token密码的哈希是否与现有用户的哈希匹配(如果不匹配,则表示用户已更改密码)

如果它们不同,那么我会引发错误并使用旧密码哈希注销用户。

在配置文件中:

    'JWT_PAYLOAD_HANDLER': 'your.path.jwt.jwt_payload_handler',

并在配置文件中说明的根目录中:

 def jwt_payload_handler(user):
      username_field = get_username_field()
      username = get_username(user)

      payload = {
    'user_id': user.pk,
    'username': username,
    'pwd': user.password[-10:],
    'exp': datetime.utcnow() + api_settings.JWT_EXPIRATION_DELTA
    }
if hasattr(user, 'email'):
    payload['email'] = user.email
if isinstance(user.pk, uuid.UUID):
    payload['user_id'] = str(user.pk)

      payload[username_field] = username
      return payload

然后这是自定义中间件:

from django.http.response import HttpResponseForbidden
from django.utils.deprecation import MiddlewareMixin
from rest_framework_jwt.utils import jwt_decode_handler
from config.settings.base import JWT_AUTH
from trp.users.models import User
class JWTAuthenticationMiddleware(MiddlewareMixin):
   def process_request(self, request):
      jwt_user_pwd = self.get_jwt_user_pwd(request)
      # check if last digits of password read from jwt token matches the hash of the current user in DB
      if jwt_user_pwd is not None:
        if jwt_user_pwd['pwd'] != jwt_user_pwd['user'].password[-10:]:
            return HttpResponseForbidden()

@staticmethod
def get_jwt_user_pwd(request):
    token = request.META.get('HTTP_AUTHORIZATION', None)
    # Remove the prefix from token name so that decoding the token gives us correct credentials
    token = str(token).replace(JWT_AUTH['JWT_AUTH_HEADER_PREFIX'] + ' ', '')
    if token:
        try:
            payload = jwt_decode_handler(token)
            authenticated_user = User.objects.get(id=payload['user_id'])
        except Exception as e:
            authenticated_user = None
            payload = {}
        if authenticated_user and payload:
            return {'user': authenticated_user, 'pwd': payload.get('pwd')}
    return None

要注销用户,我已经从前端读取了请求“在这种情况下为 403”的状态代码:(我Angular在我的情况下使用)然后注销用户,我希望它在未来对某人有所帮助。

于 2019-04-19T16:08:50.193 回答
0

好,

这都是关于令牌到期时间的——如果你保持这个时间很短(比如 10-15 分钟)——当密码或某些权限发生变化时,你就不必费心让它失效了。令牌总是会在一段时间后失效,并会发行一个新的令牌。

如果您使用 JWT 作为长寿令牌(这不是好的做法) - 您会遇到问题。

因为像更改密码和使其他令牌无效(不同的会话)(或强制重新创建)这样的操作需要存储在其他地方(如一些 NoSQL 存储) - 并检查每个会话是否需要一些特殊操作 - 然后你就失去了JWT 的无状态优势。

于 2019-04-13T09:20:01.583 回答