django - 每次使用 django-graphql-jwt 生成新令牌时,如何撤销 JWT?
问题描述
我正在使用 django-graphql-jwt ( https://django-graphql-jwt.domake.io/en/latest/index.html ) 来处理我的 Django Python Graphene 应用程序的身份验证。目前,每次生成新的 JWT 时,只要没有超过到期时间,之前的 JWT 仍然处于活动状态。
每当我生成新的 JWT 时,我想撤销/阻止对先前生成的 JWT 的访问(即使 JWT 尚未过期)。
我在想的是利用 JWT 有效负载中的 origIat 并将其与 User 模型中的 last_login 属性进行比较。不过我注意到,每当我使用 JWT 进行身份验证时,User.last_login 都不会更新。
仍在寻找如何正确解决这个问题,并想知道你们中是否有人已经解决了这个问题。
谢谢!
解决方案
我目前的解决方案:
- 将 last_jwt_iat 字段添加到用户模型
class User(AbstractUser):
id = models.UUIDField(primary_key=True, default=uuid.uuid4, editable=False)
email = models.EmailField(unique=True, null=False, blank=False)
created_at = models.DateTimeField(auto_now_add=True)
updated_at = models.DateTimeField(auto_now=True)
last_jwt_iat = models.DateTimeField(null=True, blank=True)
def __str__(self):
return f'{self.email}'
- 子类化 graphql_jwt.relay.JSONWebTokenMutation,并在请求新令牌时更新 User.last_jwt_iat
class ObtainJSONWebToken(graphql_jwt.relay.JSONWebTokenMutation):
@classmethod
def resolve(cls, root, info, **kwargs):
# Update User.last_jwt_iat by generating current UTC timestamp
# Probably better if we can extract the origIat from GraphQL payload
user = info.context.user
last_jwt_iat = datetime.datetime.utcnow()
user.last_jwt_iat = last_jwt_iat
user.save()
return cls()
- 使用 Graphene 中间件检查 User.last_jwt_iat > current JWT's iat
def _authenticate(request):
"""
Check if user is anonymous and JWT authorization header exist
:param request: HttpRequest instance
:return: Boolean
"""
is_anonymous = not hasattr(request, 'user') or request.user.is_anonymous
return is_anonymous and get_http_authorization(request) is not None
class AuthCheckIat(object):
def resolve(self, next, root, info, **args):
context = info.context
# Check if User.last_jwt_iat > token iat, raise error, stop evaluation
if _authenticate(context):
jwt_decoded = jwt_decode(get_http_authorization(context))
username = jwt_decoded['username']
user = User.objects.get(username=username)
iat = datetime.datetime.fromtimestamp(jwt_decoded['origIat'], tz=datetime.timezone.utc)
if user.last_jwt_iat > iat:
raise PermissionDenied(
'User last JWT issued time is greater than supplied JWT issued time. Please use newer token. ')
return next(root, info, **args)
推荐阅读
- angular - 放大配置文件生产
- angular - 即使导入了 CommonModule,Angular 9 *ngIf 也不是 div 的已知属性
- dataframe - 使用 Dask 数据帧的 Autosklearn 预测/ Autosklearn 对 dask 数据帧的支持
- python - 在 Python 中将资源 ID 从 ADAL 转换为 MSAL
- xcode - Xcode:如何为“调试”和“发布”设置不同的 Bundle Id
- google-cloud-platform - 谷歌云错误将外部IP分配给实例
- c# - 如何使用 .NET 将字符串附加到从 blob 派生的 JSON 字符串?
- google-cloud-firestore - 使用谷歌应用引擎部署 fastai 模型
- reactjs - 如何从现有路由器调用另一个路由器路径
- pip - 在 Debian Buster 上使用 pip 和 pipenv 安装软件包时收到错误消息