django jwt token认证中rest_framework_jwt的refresh token有效期

最新推荐文章于 2025-03-27 15:31:36 发布
最新推荐文章于 2025-03-27 15:31:36 发布
阅读量5.6k 收藏 9
点赞数 2
分类专栏: django 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hhhhh11/article/details/108527570
版权
本文探讨了在django使用rest_framework_jwt时,refresh token的实际有效期与配置的JWT_REFRESH_EXPIRATION_DELTA的区别。通常认为JWT_REFRESH_EXPIRATION_DELTA是refresh token的过期时间,但实际上是token可被刷新的有效期限。在该期限内,可以使用refresh token获取新token,新token的有效期与原始access token相同。超出此期限,则需重新登录获取新token。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导读

jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。

场景再现

在jwt鉴权过程中往往会使用accesstoken 和 refreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,而且这个有效期比accesstoken的有效期要长得多。这个是一般场景中的释义,但是近期在用rest_framewrok_jwt对django项目进行鉴权的时候发现rest_framewrok_jwt 中refresh token的有效期完全不是这个意思。
大家都知道在django settings当中 ‘JWT_REFRESH_EXPIRATION_DELTA’: datetime.timedelta(days=1) 用来配置refresh token的有效期,很多人默认refresh token的有效期就是1天。如果将token有效期设置为’JWT_EXPIRATION_DELTA’: datetime.timedelta(seconds=60),当前同时生成token和refreshtoken 去试试他们的有效时间。你得到的结果应该是refreshtoken刚过60s refreshtoken就无效了,而且不能刷新token,这是为什么呢?其实JWT_REFRESH_EXPIRATION_DELTA的真正意思是token能被refresh的有效期而不是refresh token的有效期,也就是说你在JWT_REFRESH_EXPIRATION_DELTA设置的时间内可以去refresh token,过了这个时间就不能refresh token了,而refresh出来的token的有效期实际上跟access token是同一个时间,没错,就是60s。
下面我们就来通过源码证实一下。

源码佐证

refresh token的源码:
path: rest_framework_jwt.serializers.RefreshJSONWebTokenSerializer

 class RefreshJSONWebTokenSerializer(VerificationBaseSerializer):
        """
        Refresh an access token.
        """
    
        def validate(self, attrs):
            token = attrs['token']
            # 这一段用来对需要进行refresh的代码进行校验
            payload = self._check_payload(token=token)
            user = self._check_user(payload=payload)
            # Get and check 'orig_iat'
            orig_iat = payload.get('orig_iat')
    
            if orig_iat:
                # Verify expiration
                refresh_limit = api_settings.JWT_REFRESH_EXPIRATION_DELTA
                if isinstance(refresh_limit, timedelta):
                    refresh_limit = (refresh_limit.days * 24 * 3600 +
                                     refresh_limit.seconds)
                expiration_timestamp = orig_iat + int(refresh_limit)
                now_timestamp = timegm(datetime.utcnow().utctimetuple())
    
                if now_timestamp > expiration_timestamp:
                    msg = _('Refresh has expired.')
                    raise serializers.ValidationError(msg)
            else:
                msg = _('orig_iat field is required.')
                raise serializers.ValidationError(msg)
    
            new_payload = jwt_payload_handler(user)
            new_payload['orig_iat'] = orig_iat
            return {
   
                'token': jwt_encode_handler(new_payload),
                'user': user
            }

我们来看两个比较重要的函数

  1. payload = self._check_payload(token=token)
    这个主要是来检查需要刷新的token,有一项检查就是当前token是否过期
serializers.py
    def _check_payload(self, token
最低0.47元/天 解锁文章
基于Django框架实现简单token校验
qq_42707967的博客
04-27 1689
一.普通token校验 待续
djangoDjango REST Framework (DRF) 项目中实现 JWT
春天的波菜
11-07 1323
创建一个视图来处理登录请求,返回 JWT token。# views.py})通过以上步骤,我们成功地在 Django REST Framework 项目中实现了 JWT 认证,并配置了 token 黑名单以增强安全性。JWT 认证提供了一种无状态、轻量级的身份验证方式,而 token 黑名单则确保了已注销的 token 不会被再次使用,从而提高了应用的安全性。希望这篇文章对你有所帮助!如果你有任何问题或需要进一步的帮助,请随时联系我。
django djangorestframework-simplejwt djangorestframework token的生成、刷新、校验以及django中间件拦截并解析token
jjw_zyfx的博客
12-21 530
django djangorestframework-simplejwt djangorestframework token的生成、刷新、校验以及django中间件拦截并解析token
第十四: jwt token ,refresh token(二)
最新发布
小画家
03-27 155
ErrorUserNotLogin = errors.New("当前⽤用户未登录")中间件 Middlewears。gin框架使⽤用jwt
django_rest_framework_simplejwt如何更改token的默认过期时间
hk2872983273的博客
11-02 692
jwttoken过期时间是在settings.py中设置的,可是却不是django项目的settings.py中设置的,django项目的settings.py不会覆盖jwt的settings,因此我们需要在jwt模块中的settings.py更改过期时间
django simple jwt自动续期策略
roy8666的博客
06-21 1635
jwt 自动续期
PHP利用JWT实现tokenrefresh_token
打代码是一天,不打代码也是一天
11-06 1739
0. 引入 composer require firebase/php-jwt require __DIR__ . '/vendor/autoload.php'; use Firebase\JWT\JWT; 1. 生成token public function getToken() { $key = 'key'; // key $time = time(); // 当前时间 $token = [ 'iss' => 'http://www.buddha.c
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web TokenJWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Django drf jwt token认证前后端使用流程
cm_panpan的博客
10-19 1479
后端使用处理 JWT 认证,配置好相关路由和权限保护。前端通过登录接口获取和,然后在调用受保护 API 时,在请求头中携带。当过期时,前端可以使用获取新的。这样,前后端就可以通过 JWT 来实现安全的认证和授权流程。
Django REST Framework——8. JWT
花城的博客
12-30 3373
文章目录一、Token与Session1. Session的弊端2. Token认证机制二、JWT的概念及构成三、Djangorestframework-simplejwt1. 安装与配置2. 基本使用方法3. 常用配置4. 自定义生成的Token内容5. JWT解码 一、Token与Session 1. Session的弊端 我们之前已经学过session,它是将用户的敏感信息保存到服务端,而只给客户端一个sessionid(保存为cookie)作为与服务器端session交互的凭证。在用户通过验证并拿到
auth-api:OAuth2方法中的JWT实现(acccessTokenrefreshToken
04-08
身份验证API 在OAuth2方法(acccessTokenrefreshToken)中实现JWT 开发环境 Spring启动2.4.4 Spring安全 JWT库-> io.jsonwebtoken JPA H2服务器模式 项目流程 运行服务器时的默认用户插入处理(测试数据) 呼叫/ authenticate->检查ID /密码信息并返回令牌信息(accessToken,refresToken) 使用发出的accessToken请求API调用 当accessToken过期时,通过调用/ re / authenticate重新设置accessTokenrefreshToken(设置先前在调用API时在标头中发布的refreshToken) 设定值 jwt: access-token-refresh-url: /re/authenticate access-token
JWT生成token及过期处理方案
以梦为马,不负韶华
08-17 8236
业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。 基本思路 单个token token(A)过期设置为15分钟 前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果
JWT Token、ID Token、Access TokenRefresh Token
乌龟的专栏
02-22 8340
JWT Token、ID Token、Access TokenRefresh Token
Django REST framework JWT
python_web全栈
03-06 4215
1. 安装 pip3 install djangorestframework-jwt -i https://mirrors.aliyun.com/pypi/simple/ 2. 使用 2.1 重写认证 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions import AuthenticationFailed from rest_framework_jwt.authe
JWTtokenrefreshtoken判断登陆
qq_43077857的博客
05-28 932
@Transactional(propagation = Propagation.REQUIRED, isolation = Isolation.DEFAULT, rollbackFor = Exception.class) public Message isLogin(ActivityUserEvt evt, HttpServletRequest request) { String accessToken = request.getHeader(“token”); String refreshToken
jwt,accesstokenrefresh token详解
qq_37704442的博客
02-24 5123
jwt,accesstokenrefresh token详解
JWTRefreshToken的应用场景及刷新token的具体实现思路
热门推荐
isFuong的博客
03-17 1万+
JWT token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录产生不良体验。 试想,如果你正访问某基于jwt token机制的网站,该网站token过期时间是24小时, 你在23小时59分前已经登录过了,现在你访问某页面时,正好处于token过期时间24小时的临界点, 这时token突然过期,你上一秒看视频正起劲儿呢,下一秒就让你重新登录了,你说气不气? 这时候如果有一个refreshToken,虽然正式的token过期了,但前端却可以拿这个refreshTo
Django jwt校验
weixin_43419774的博客
04-30 296
网上看到了很多实用jwttoken验证的,当做轮子还是要自己改,我根据自己实现的也写一下怎么用 Django 2.2.7 jwt 1.0.0 关于token验证,jwt 1)文档 https://github.com/GehirnInc/python-jwt pip install jwt 2)使用 生成公钥私钥 https://mkjwk.org/?spm=a2c4...
rest_framework-jwt刷新token
01-25
### 如何在 Django REST Framework JWT 中实现 Token 刷新 为了实现在 `Django REST Framework` 使用 JWT 认证时刷新令牌的功能,需按照如下方法设置: #### 安装依赖包 首先安装必要的 Python 包来支持 JWT 功能: ```bash pip install djangorestframework-jwt ``` #### 配置URL路由 接着,在项目的 `urls.py` 文件里加入用于获取新访问令牌的路径。这允许客户端通过发送旧的刷新令牌来换取新的访问令牌。 ```python from django.urls import path, re_path from rest_framework_jwt.views import ObtainJSONWebToken, RefreshJSONWebToken urlpatterns = [ ... re_path(r'^api-token-refresh/', RefreshJSONWebToken.as_view(), name='token_refresh'), ... ] ``` 上述代码定义了一个名为 `token_refresh` 的 URL 模式[^2]。 #### 设置全局认证方式 为了让整个 API 接口能够识别并验证 JWT 令牌,还需要修改项目配置文件 (`settings.py`) 来指定默认的身份验证类为 `JWTAuthentication`: ```python REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', ), } ``` 这样就完成了基本的 JWT 刷新机制搭建工作。当用户的访问令牌过期后,可以向 `/api-token-refresh/` 发送 POST 请求携带有效的刷新令牌以获得一个新的访问令牌。 需要注意的是,默认情况下,`djangorestframework-jwt` 并不提供真正的长期有效刷新令牌的支持;每次调用刷新接口都会生成一对全新的访问和刷新令牌,并且之前的刷新令牌会被认为失效[^3]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值