django jwt token认证中rest_framework_jwt的refresh token有效期

最新推荐文章于 2025-06-16 10:44:35 发布
原创 最新推荐文章于 2025-06-16 10:44:35 发布 · 5.6k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt

本文探讨了在django使用rest_framework_jwt时,refresh token的实际有效期与配置的JWT_REFRESH_EXPIRATION_DELTA的区别。通常认为JWT_REFRESH_EXPIRATION_DELTA是refresh token的过期时间,但实际上是token可被刷新的有效期限。在该期限内,可以使用refresh token获取新token,新token的有效期与原始access token相同。超出此期限,则需重新登录获取新token。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导读

jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。

场景再现

在jwt鉴权过程中往往会使用accesstoken 和 refreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,而且这个有效期比accesstoken的有效期要长得多。这个是一般场景中的释义,但是近期在用rest_framewrok_jwt对django项目进行鉴权的时候发现rest_framewrok_jwt 中refresh token的有效期完全不是这个意思。
大家都知道在django settings当中 ‘JWT_REFRESH_EXPIRATION_DELTA’: datetime.timedelta(days=1) 用来配置refresh token的有效期,很多人默认refresh token的有效期就是1天。如果将token有效期设置为’JWT_EXPIRATION_DELTA’: datetime.timedelta(seconds=60),当前同时生成token和refreshtoken 去试试他们的有效时间。你得到的结果应该是refreshtoken刚过60s refreshtoken就无效了,而且不能刷新token,这是为什么呢?其实JWT_REFRESH_EXPIRATION_DELTA的真正意思是token能被refresh的有效期而不是refresh token的有效期,也就是说你在JWT_REFRESH_EXPIRATION_DELTA设置的时间内可以去refresh token,过了这个时间就不能refresh token了,而refresh出来的token的有效期实际上跟access token是同一个时间,没错,就是60s。
下面我们就来通过源码证实一下。

源码佐证

refresh token的源码:
path: rest_framework_jwt.serializers.RefreshJSONWebTokenSerializer

 class RefreshJSONWebTokenSerializer(VerificationBaseSerializer):
        """
        Refresh an access token.
        """
    
        def validate(self, attrs):
            token = attrs['token']
            # 这一段用来对需要进行refresh的代码进行校验
            payload = self._check_payload(token=token)
            user = self._check_user(payload=payload)
            # Get and check 'orig_iat'
            orig_iat = payload.get('orig_iat')
    
            if orig_iat:
                # Verify expiration
                refresh_limit = api_settings.JWT_REFRESH_EXPIRATION_DELTA
                if isinstance(refresh_limit, timedelta):
                    refresh_limit = (refresh_limit.days * 24 * 3600 +
                                     refresh_limit.seconds)
                expiration_timestamp = orig_iat + int(refresh_limit)
                now_timestamp = timegm(datetime.utcnow().utctimetuple())
    
                if now_timestamp > expiration_timestamp:
                    msg = _('Refresh has expired.')
                    raise serializers.ValidationError(msg)
            else:
                msg = _('orig_iat field is required.')
                raise serializers.ValidationError(msg)
    
            new_payload = jwt_payload_handler(user)
            new_payload['orig_iat'] = orig_iat
            return {
   
   
                'token': jwt_encode_handler(new_payload),
                'user': user
            }

我们来看两个比较重要的函数

  1. payload = self._check_payload(token=token)
    这个主要是来检查需要刷新的token,有一项检查就是当前token是否过期
serializers.py
    def _check_payload(self, token, **kwargs)
最低0.47元/天 解锁文章

200万优质内容无限畅学
基于Django框架实现简单token校验
qq_42707967的博客
04-27 1709
一.普通token校验 待续
djangoDjango REST Framework (DRF) 项目中实现 JWT
春天的波菜
11-07 1533
创建一个视图来处理登录请求,返回 JWT token。# views.py})通过以上步骤,我们成功地在 Django REST Framework 项目中实现了 JWT 认证,并配置了 token 黑名单以增强安全性。JWT 认证提供了一种无状态、轻量级的身份验证方式,而 token 黑名单则确保了已注销的 token 不会被再次使用,从而提高了应用的安全性。希望这篇文章对你有所帮助!如果你有任何问题或需要进一步的帮助,请随时联系我。
django_rest_framework_simplejwt如何更改token的默认过期时间
hk2872983273的博客
11-02 742
jwttoken过期时间是在settings.py中设置的,可是却不是django项目的settings.py中设置的,django项目的settings.py不会覆盖jwt的settings,因此我们需要在jwt模块中的settings.py更改过期时间
django restframework jwt 在后端直接获取或刷新refresh token和access token办法
最新发布
计算机辅助工程
06-16 213
【代码】django restframework jwt 在后端直接获取或刷新refresh token和access token办法。
django simple jwt自动续期策略
roy8666的博客
06-21 1685
jwt 自动续期
PHP利用JWT实现tokenrefresh_token
打代码是一天,不打代码也是一天
11-06 1762
0. 引入 composer require firebase/php-jwt require __DIR__ . '/vendor/autoload.php'; use Firebase\JWT\JWT; 1. 生成token public function getToken() { $key = 'key'; // key $time = time(); // 当前时间 $token = [ 'iss' => 'http://www.buddha.c
Django Token
watermelon
07-13 587
Django Token 步骤: 新建一个token_module.py 新建一个authentiction_module.py 在app下views.py中写api 项目结构 token_module.py import time import base64 import hmac def get_token(key, expire=3600): ''' :param key: str (用户给定的key,需要用户保存以便之后验证token,每次产生token时的key 都可以是同
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web TokenJWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Django drf jwt token认证前后端使用流程
cm_panpan的博客
10-19 1544
后端使用处理 JWT 认证,配置好相关路由和权限保护。前端通过登录接口获取和,然后在调用受保护 API 时,在请求头中携带。当过期时,前端可以使用获取新的。这样,前后端就可以通过 JWT 来实现安全的认证和授权流程。
Django REST Framework——8. JWT
花城的博客
12-30 3391
文章目录一、Token与Session1. Session的弊端2. Token认证机制二、JWT的概念及构成三、Djangorestframework-simplejwt1. 安装与配置2. 基本使用方法3. 常用配置4. 自定义生成的Token内容5. JWT解码 一、Token与Session 1. Session的弊端 我们之前已经学过session,它是将用户的敏感信息保存到服务端,而只给客户端一个sessionid(保存为cookie)作为与服务器端session交互的凭证。在用户通过验证并拿到
auth-api:OAuth2方法中的JWT实现(acccessTokenrefreshToken
04-08
身份验证API 在OAuth2方法(acccessTokenrefreshToken)中实现JWT 开发环境 Spring启动2.4.4 Spring安全 JWT库-> io.jsonwebtoken JPA H2服务器模式 项目流程 运行服务器时的默认用户插入处理(测试数据) 呼叫/ authenticate->检查ID /密码信息并返回令牌信息(accessToken,refresToken) 使用发出的accessToken请求API调用 当accessToken过期时,通过调用/ re / authenticate重新设置accessTokenrefreshToken(设置先前在调用API时在标头中发布的refreshToken) 设定值 jwt: access-token-refresh-url: /re/authenticate access-token
第十四: jwt token ,refresh token(二)
小画家
03-27 233
ErrorUserNotLogin = errors.New("当前⽤用户未登录")中间件 Middlewears。gin框架使⽤用jwt
【Gin】在Gin框架中使用JWT
大河之犬的博客
03-14 1141
/ CustomClaims 自定义声明类型 并内嵌jwt.RegisteredClaims// jwt包自带的jwt.RegisteredClaims只包含了官方字段// 假设我们这里需要额外记录一个username字段,所以要自定义结构体// 如果想要保存更多信息,都可以添加到这个结构体中// 可根据需要自行添加字段jwt.RegisteredClaims // 内嵌标准的声明// jwt token 的过期时间// CustomSecret 用于加盐的字符串。
JWT生成token及过期处理方案
以梦为马,不负韶华
08-17 8296
业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。 基本思路 单个token token(A)过期设置为15分钟 前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果
JWT Token、ID Token、Access TokenRefresh Token
乌龟的专栏
02-22 8540
JWT Token、ID Token、Access TokenRefresh Token
Django REST framework JWT
python_web全栈
03-06 4235
1. 安装 pip3 install djangorestframework-jwt -i https://mirrors.aliyun.com/pypi/simple/ 2. 使用 2.1 重写认证 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions import AuthenticationFailed from rest_framework_jwt.authe
django-simple-captcha refresh & validation
比格夏克
07-06 1351
Preparation Download django-simple-captcha using pip by running: pip install django-simple-captcha Add captcha to the INSTALLED_APPS in your settings.py Run python manage.py syncdb (or py
JWTtokenrefreshtoken判断登陆
qq_43077857的博客
05-28 943
@Transactional(propagation = Propagation.REQUIRED, isolation = Isolation.DEFAULT, rollbackFor = Exception.class) public Message isLogin(ActivityUserEvt evt, HttpServletRequest request) { String accessToken = request.getHeader(“token”); String refreshToken
rest_framework-jwt刷新token
01-25
### 如何在 Django REST Framework JWT 中实现 Token 刷新 为了实现在 `Django REST Framework` 使用 JWT 认证时刷新令牌的功能,需按照如下方法设置: #### 安装依赖包 首先安装必要的 Python 包来支持 JWT 功能...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值