1

我按照 Brad Traversy 的本教程 ( https://www.youtube.com/watch?v=0d7cIfiydAc ) 使用 Knox 进行身份验证,使用 React/Redux 作为前端,开发了我的基于 Django 的带有令牌身份验证的 web 应用程序。登录/注销工作正常(这是布拉德的代码:https ://github.com/bradtraversy/lead_manager_react_django/blob/master/leadmanager/frontend/src/actions/auth.js--> 使用 POST 请求注销),除了一个问题:当用户长时间远离计算机时,令牌同时过期。因此,当用户返回时,他仍然在网站的登录区域,但是一旦他打开一个从数据库加载数据的 React 组件,控制台就会抛出 401 错误(“加载资源失败:服务器响应状态为 401(未授权)”)。然后用户必须继续“注销”并再次登录。

这不是最优的,我希望在用户返回后,系统实现令牌到期并自动将用户注销。我想到了以下方法,但我不确定如何实现它或哪种方法最好:

1)对于每个 API 请求:如果答案是 401 --> 注销(这也可能会在令牌未过期的情况下将用户注销,但如果存在其他权限问题)- 对我来说似乎不是最佳选择。

2)相反,也可以创建一个测试路线,例如 api/auth/check 使用 Django 视图,包括典型检查

permission_classes = [permissions.IsAuthenticated]

如果返回 401 --> 注销。所以这意味着对于每个数据库请求,我之前都有另一个相当不特定的数据库请求。

3) 专门检查每个 API 请求是否令牌已过期 --> 怎么做?在文档(https://james1345.github.io/django-rest-knox/)中,我找不到检查令牌有效性的方法。我在数据库表“knox_authtoken”中看到了到期日期和“digest”列中的巨大代码,但这显然是加密数据,无法与本地存储下浏览器中的令牌值进行比较。

我很高兴收到有关如何最好地实施这一点的建议!

4

2 回答 2

4

这可以通过多种方式完成。我没有看到自动踢出用户的原因,但如果你想这样做,你可以:

  1. 创建一个 URL,该 URL 仅用于每 5 秒左右检查一次身份验证是否有效
  2. 令牌过期后,使用 Web 套接字发送实时消息。
  3. 将逻辑放在前端,例如存储令牌的有效期,并运行超时,超时完成后重新定位他登录。
于 2019-07-16T19:29:46.197 回答
1

Jazzy 的回答 - 选项 3 - 让我走上了正确的道路(谢谢!),但在前端使用计时器最初并不成功,因为在 React 组件中启动计时器只会在该组件可见时运行. 我没有在用户会话期间始终可见的组件。我将 Django 设置中令牌的到期时间从默认值 8 小时更改为 72 小时,并使用此包在前端实现空闲检查:https ://www.npmjs.com/package/react-idle-timer. 因此,一旦我的应用程序 2 小时未使用,我就会调用注销操作 (api/auth/logout)。使用这种方法,我不需要关心 Django 端令牌的到期时间,因为在 72 小时内没有用户处于活动状态。一旦他再次登录,他将收到一个新的令牌。

新解决方案:我决定不经常打扰用户登录,并发现了这个不错的策略:

  • 我们选择永不过期 Knox 令牌
  • 我们将 Django 会话的到期日期设置为自上次登录后 90 天
  • 如果用户超过 90 天没有登录,他会在某个时候向后端发出请求(例如数据请求),我们会检查会话数据是否可用
if 'some_session_variable' in request.session:
    # whatever logic you need
else:
    return HttpResponse("logout")

由于会话变量在到期后将不可用,因此返回“注销”字符串。在前端,我们检查“注销”字符串的每个响应。如果它被退回,我们将启动注销过程。空闲计时器不再使用(因为根据我的经验它不是那么可靠)。

于 2019-07-30T13:58:21.170 回答