时间戳

首页 > 解决方案 > 每次使用 django-graphql-jwt 生成新令牌时,如何撤销 JWT?

django - 每次使用 django-graphql-jwt 生成新令牌时,如何撤销 JWT?

问题描述

我正在使用 django-graphql-jwt ( https://django-graphql-jwt.domake.io/en/latest/index.html ) 来处理我的 Django Python Graphene 应用程序的身份验证。目前,每次生成新的 JWT 时,只要没有超过到期时间,之前的 JWT 仍然处于活动状态。

每当我生成新的 JWT 时,我想撤销/阻止对先前生成的 JWT 的访问(即使 JWT 尚未过期)。

我在想的是利用 JWT 有效负载中的 origIat 并将其与 User 模型中的 last_login 属性进行比较。不过我注意到,每当我使用 JWT 进行身份验证时,User.last_login 都不会更新。

仍在寻找如何正确解决这个问题,并想知道你们中是否有人已经解决了这个问题。

谢谢!

标签: djangographqljwtgraphene-pythongraphene-django

解决方案

我目前的解决方案:

  1. 将 last_jwt_iat 字段添加到用户模型
class User(AbstractUser):
    id = models.UUIDField(primary_key=True, default=uuid.uuid4, editable=False)
    email = models.EmailField(unique=True, null=False, blank=False)
    created_at = models.DateTimeField(auto_now_add=True)
    updated_at = models.DateTimeField(auto_now=True)

    last_jwt_iat = models.DateTimeField(null=True, blank=True)

    def __str__(self):
        return f'{self.email}'
  1. 子类化 graphql_jwt.relay.JSONWebTokenMutation,并在请求新令牌时更新 User.last_jwt_iat
class ObtainJSONWebToken(graphql_jwt.relay.JSONWebTokenMutation):

    @classmethod
    def resolve(cls, root, info, **kwargs):
        # Update User.last_jwt_iat by generating current UTC timestamp
        # Probably better if we can extract the origIat from GraphQL payload
        user = info.context.user
        last_jwt_iat = datetime.datetime.utcnow()
        user.last_jwt_iat = last_jwt_iat
        user.save()
        return cls()
  1. 使用 Graphene 中间件检查 User.last_jwt_iat > current JWT's iat
def _authenticate(request):
    """
    Check if user is anonymous and JWT authorization header exist
    :param request: HttpRequest instance
    :return: Boolean
    """
    is_anonymous = not hasattr(request, 'user') or request.user.is_anonymous
    return is_anonymous and get_http_authorization(request) is not None


class AuthCheckIat(object):
    def resolve(self, next, root, info, **args):
        context = info.context
        # Check if User.last_jwt_iat > token iat, raise error, stop evaluation
        if _authenticate(context):
            jwt_decoded = jwt_decode(get_http_authorization(context))
            username = jwt_decoded['username']
            user = User.objects.get(username=username)
            iat = datetime.datetime.fromtimestamp(jwt_decoded['origIat'], tz=datetime.timezone.utc)
            if user.last_jwt_iat > iat:
                raise PermissionDenied(
                    'User last JWT issued time is greater than supplied JWT issued time. Please use newer token. ')
        return next(root, info, **args)

推荐阅读