如何使用 Simple JWT（django rest）将 JWT 令牌列入黑名单？

Question

我正在使用Simple JWT 在我的 Django REST API 中使用 JWT 令牌。它工作得很好，但我希望能够在用户注销时将令牌列入黑名单。在文档中说：

如果在 INSTALLED_APPS 中检测到黑名单应用，Simple JWT 会将任何生成的刷新或滑动令牌添加到未完成令牌列表中。它还将检查任何刷新或滑动令牌是否未出现在令牌黑名单中，然后才将其视为有效。 Simple JWT 黑名单应用使用两种模型实现其未完成和列入黑名单的令牌列表：OutstandingToken 和 BlacklistedToken。为这两个模型定义了模型管理员。要将token添加到黑名单中，在admin中找到其对应的OutstandingToken记录，再次使用admin创建指向OutstandingToken记录的BlacklistedToken记录。

但是，我没有找到任何代码示例，我不确定应该如何实现。一个例子将不胜感激。

Answer 1

Simple JWT 仅将刷新令牌列入黑名单。这可以通过设置来完成：

INSTALLED_APPS = (
    ...
    'rest_framework_simplejwt.token_blacklist',
    ...
}

然后运行migrate。

所以，我建议，为了注销用户：

• 从客户端删除、刷新和访问令牌。此外，请尽可能缩短访问令牌的到期时间。

• 通过创建 api 端点将刷新令牌列入黑名单。

  urls.py

  path('/api/logout', views.BlacklistRefreshView.as_view(), name="logout"),
  

  views.py

  from rest_framework_simplejwt.tokens import RefreshToken
  
  class BlacklistRefreshView(APIView):
      def post(self, request)
          token = RefreshToken(request.data.get('refresh'))
          token.blacklist()
          return Response("Success")
  

这将确保刷新令牌不能再次用于生成新令牌（如果有人获得了它）。另外，由于访问令牌的寿命很短，因此希望它很快就会失效。

Answer 2

对此不确定，但我可以使用token.blacklist()。

制作tokens.py

from rest_framework_simplejwt.tokens import AccessToken, BlacklistMixin


class JWTAccessToken(BlacklistMixin, AccessToken):
    pass

在settings.py

SIMPLE_JWT = {
    ...
    'AUTH_TOKEN_CLASSES': ('path_to_tokens_py.tokens.JWTAccessToken',),
    ...
}

Answer 3

我遇到了同样的错误：

TokenError(_('令牌无效或过期'))

因为传入了访问令牌：

token = RefreshToken(access_token)

虽然我应该传入刷新令牌。