Авторизация на JWT в Django Rest Framework?

Question

[Jekson]

Надо реализовать систему авторизации на JWT. Воспользовался этой библиотекой djangorestframework_simplejwt
Все работает прекрасно, один момент - похоже в ней не предусмотрен функционал logout. Библиотека как я понимаю рекомендуемая для работы с DRF, и отсутствие logout в ней мне не совсем понятно. Подскажите, возможно я чегото не допонимаю и это лишнее? или может поделитесь какую библиотеку используете вы . Все что мне нужно это функционал login/logout на JWT.

Answer 1

[deepblack]

В jwt нет такого понятия как logout, токен либо есть (и он валиден) либо его нет или он не валиден (просрочен).
Есть же blacklist, для этого.

Вот здесь отвечали на подобный вопрос

Comments

[Jekson]

вы пользовались? Как это происходит: access token добавляется в блэклист и хранится там ? Все записи в блэклисте сохраняются постоянно? Не нашел кода, который выполняет эту задачу.

[deepblack]

Jekson,

Не нашел кода, который выполняет эту задачу.

В указанном вами репозитории, есть целое приложение с таким функционалом
https://github.com/davesque/django-rest-framework-...

Все записи в блэклисте сохраняются постоянно?

Как минимум до того момента когда он "протухнет" (expiration_date)

[Jekson]

Хм, если нет понятия logout, то как тогда можно зайти одному и томуже юзеру под другим аккаунтом.

[deepblack]

Jekson,

Хм, если нет понятия logout, то как тогда можно зайти одному и томуже юзеру под другим аккаунтом.

Использовать токен другого пользователя.

[Jekson]

Поправьте меня если я не правильно понял. У нас есть два типа токена: refresh и access . Expiration date допустим по умолчанию 5 мин. По прошествию этого времени токен типа access надо обновлять использую токен типа refresh. Если refresh добавлен в blacklist то возможности обновиться нет. Таким образом можно сделать привязать вьюху которая отправляет refresh в blacklist и функционал подобной штуки заключается в ограничении работоспособности выданного токена в течении 5 мин.

[deepblack]

Jekson,

У нас есть два типа токена: refresh и access . Expiration date допустим по умолчанию 5 мин. По прошествию этого времени токен типа access надо обновлять использую токен типа refresh. Если refresh добавлен в blacklist то возможности обновиться нет. Таким образом можно сделать привязать вьюху которая отправляет refresh в blacklist и функционал подобной штуки заключается в ограничении работоспособности выданного токена в течении 5 мин.

В общем правильно, кстати блеклистить можно оба типа токена

[Jekson]

Andrew, Andrew,

Использовать токен другого пользователя.

Как тогда человеку на фронте показать кнопку login если он как бы все еще залогинен

[deepblack]

Jekson,

Как тогда человеку на фронте показать кнопку login если он как бы все еще залогинен

Если чисто на фронте - то достаточно удалить токен из хранилища (при нажатии кнопки logout).
Нет токена - нет проблем )
А со стороны сервера - добавляй токен в блеклист (и удаляй на фронте).

[RickGrymes26]

В общем правильно, кстати блеклистить можно оба типа токена

Андрей, А как можно добавить access_token в blacklist? Негде не нашел такого

[deepblack]

RickGrymes26,
Использовать библиотеку, например эту:
https://django-rest-framework-simplejwt.readthedoc...
либо написать реализацию самому

[RickGrymes26]

Андрей, Да, я ей и пользуюсь, но удаление или добавление в черный список access токена я найти не смог