Django REST framework學習之JWT失效方式

前因

項目通過JWT 來實現用戶的驗證，在注銷和異設備登入或密碼修改的時候都需要讓舊的JWT 失效，但是 DRF JWT 沒有內置失效方法，官方推薦通過設置“JWT_GET_USER_SECRET_KEY” 為一個使每次SECRET_KEY 不相同的方法，從而使每次生成的Token 都不一樣。

 

后果

具體方式如下：

1.首先修改用戶模型類users.models.py 添加user_secret 字段，如下：

from django.db import models
from django.contrib.auth.models import AbstractUser
from uuid import uuid4

class User(AbstractUser):
　　"""用戶模型類"""
　　user_secret = models.UUIDField(default=uuid4(), verbose_name='用戶JWT秘鑰')

　　class Meta:
　　　　db_table = 'tb_users'
　　　　verbose_name = '用戶'
　　　　verbose_name_plural = verbose_name

 

2.並在項目的settings 中指定使用該模型類，如下：

# Custom Model
AUTH_USER_MODEL = 'users.User'

 

3.終端執行遷移命令

python manage.py makemigrations
python manage.py migrate

 

4.在utils.users.py 中定義獲取user_secret 的方法，如：

def jwt_get_user_secret(user):

　　return user.user_secret

 

5.在項目的settings 的JWT_AUTH 里添加一個屬性 'JWT_GET_USER_SECRET_KEY'

# JWT_AUTH settings
JWT_AUTH = {
　　# JWT expiration time one day
　　'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
　　# Custom Return
　　'JWT_RESPONSE_PAYLOAD_HANDLER': 'utils.users.jwt_response_payload_handler',
　　# Custom Get User SECRET
　　'JWT_GET_USER_SECRET_KEY': 'utils.users.jwt_get_user_secret'
}

 

構思
保證一個用戶登錄的的業務邏輯，就是每次登錄的時候都會對token 進行校驗，通過就給該用戶一個user_jwt 的屬性並且在每個請求的時候都去判斷請求是否攜帶合法token ,且該token是否和user.user_jwt 相等，如果不相等，說明有異設備登錄，更改了user_jwt，此時根據需求，需要兩個用戶都重新登錄，則重新生成user_secret，讓之前的JWT 都失效，從而保證用戶只有一個人在線上。同理用戶注銷或者修改密碼的時候，也重新生成一個新的user_secret，這樣就能保證舊的JWT 在這三種情況下失效。

6.使用中間件來實現，在項目的settings 里“MIDDLEWARE” 添加一個中間件類，用於每次請求和登錄請求的邏輯擴展，如：

# MIDDLEWARE_CALSSES = [           # Django 1.4.x ---- 1.9.x
MIDDLEWARE = [                     # Django 1.11.11
　　　    ...,
　　　　'utils.check_token_middleware.CheckTokenMiddleware',

]

 

7.1 utils.check_token_middleware.py （Django 1.4.x ---- Django 1.9.x）

from uuid import uuid4
from django.http import HttpResponse
from django.utils.deprecation import MiddlewareMixin
from jwt import InvalidSignatureError
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.serializers import VerifyJSONWebTokenSerializer

class CheckTokenMiddleware(MiddlewareMixin):
　　"""
　　Django 1.4.x ---- Django 1.9.x
　　每次請求時 判斷 JWT 是否與 User.user_jwt 相等
　　相等的話，說明沒有以設備登錄，且沒有修改密碼
　　不相等，則說明異常設備登錄，或修改了密碼，修改用戶的uuid並提示用戶重新登錄
　　每次登錄時記錄更新JWT 為User 的一個屬性user_jwt
　　每次修改密碼時 更新修改uuid 
　　"""
　　def process_request(self, request):
　　　　# 處理所有帶JWT 的請求
　　　　jwt_token = request.META.get('Authorization', None)
　　　　if jwt_token is not None and jwt_token != '':
　　　　data = {
　　　　'token': jwt_token.split(' ')[1], # [0] 是前綴，默認為JWT
　　　　　}
　　　　try:
　　　　　　valid_data = VerifyJSONWebTokenSerializer().validate(data)
　　　　　　user = valid_data['user']
　　　　except (InvalidSignatureError, ValidationError):
　　　　　　# 找不到用戶，說明token 不合法或者身份過期
　　　　　　return HttpResponse({'msg': '身份已經過期，請重新登入'}, content_type='application/json', status=400)
　　　　else:
　　　　　　# 說明進行了第二次登錄， user.user_jwt 已經被重新賦值，需要更換簽名。注意，此種方法將使無論是第一次登錄還是第二次登錄的人的 驗證信息都失效，從而保證只有一個人在線上
　　　　　　if user.user_jwt != data['token']:
　　　　　　user.user_secret = uuid4()
　　　　　　user.save()
　　　　　　return HttpResponse({'msg': '異設備登錄，請重新登入或修改密碼'}, content_type='application/json', status=400)
　　　　return None

　　def process_response(self, request, response):
　　　　# 處理login 請求
　　　　if request.META['PATH_INFO'] == '/users/auths/':
　　　　# 因為登錄認證ObtainJSONWebToken 繼承自JSONWebTokenAPIView，所以是Response對象，不是HttpResponse對象，所以使用response.data，而不是response.content
　　　　rep_data = response.data
　　　　# 默認response.data 里面必有token ，根據序列化器VerifyJSONWebTokenSerializer()返回token和user
　　　　valid_data = VerifyJSONWebTokenSerializer().validate(rep_data)
　　　　user = valid_data['user']
　　　　user.user_jwt = rep_data['token']
　　　　user.save()
　　　　return response

 

7.2 utils.check_token_middleware.py （Django 1.11.11）

from uuid import uuid4
from django.http import HttpResponse
from jwt import InvalidSignatureError
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.serializers import VerifyJSONWebTokenSerializer

class CheckTokenMiddleware(object):
　　"""
　　Django 1.11.11
　　每次請求時 判斷 JWT 是否與 User.user_jwt 相等
　　相等的話，說明沒有以設備登錄，且沒有修改密碼
　　不相等，則說明異常設備登錄，或修改了密碼，修改用戶的uuid並提示用戶重新登錄

　　每次登錄時記錄更新JWT 為User 的一個屬性user_jwt
　　每次修改密碼時 更新修改uuid 並記錄更新JWT 為User 的一個屬性user_jwt
　　"""
　　def __init__(self, get_response):
　　　　# 第一次請求初始化和配置
　　　　self.get_response = get_response

　　def __call__(self, request):
　　　　# 請求前被調用
　　　　# 處理所有帶JWT 的請求
　　　　jwt_token = request.META.get('Authorization', None)
　　　　if jwt_token is not None and jwt_token != '':
　　　　　　data = {
　　　　　　'token': jwt_token.split(' ')[1], # [0] 是前綴，默認為JWT
　　　　　　}
　　　　　　try:
　　　　　　　　valid_data = VerifyJSONWebTokenSerializer().validate(data)
　　　　　　　　user = valid_data['user']
　　　　　　except (InvalidSignatureError, ValidationError):
　　　　　　　　# 找不到用戶，說明token 不合法或者身份過期
　　　　　　　　return HttpResponse({'msg': '身份已經過期，請重新登入'}, content_type='application/json', status=400)
　　　　　　else:
　　　　　　　　# 說明進行了第二次登錄， user.user_jwt 已經被重新賦值，需要更換簽名
　　　　　　　　if user.user_jwt != data['token']:
　　　　　　　　　　user.user_secret = uuid4()
　　　　　　　　　　user.save()
　　　　　　　　　　return HttpResponse({'msg': '異設備登錄，請重新登入或修改密碼'}, content_type='application/json', status=400)

　　　　　　　response = self.get_response(request)
　　　　　　　# 請求后被調用
　　　　　　　# 處理login 請求
　　　　　　　if request.META['PATH_INFO'] == '/users/auths/':　　　　　
　　　　　　　　# 因為登錄認證ObtainJSONWebToken 繼承自JSONWebTokenAPIView，所以是Response對象，不是HttpResponse對象
　　　　　　　　# 所以使用response.data，而不是response.content
　　　　　　　　rep_data = response.data
　　　　　　　　# 默認response.data 里面必有token ，根據序列化器VerifyJSONWebTokenSerializer()返回token和user
　　　　　　　　valid_data = VerifyJSONWebTokenSerializer().validate(rep_data)
　　　　　　　　user = valid_data['user']
　　　　　　　　user.user_jwt = rep_data['token']
　　　　　　　　user.save()
　　　　　　　　return response

 

8.在注銷用戶和修改密碼的業務邏輯后面添加：

　　# 注銷用戶
　　user = request.user
　　user.user_secret = uuid4()
　　user.save()

　　# 修改密碼
　　user.user_secret = uuid4()
　　user.save()

9.測試