【发布时间】:2017-08-10 21:49:15
【问题描述】:
我正在为一个 Android 应用程序创建一个 API,我正在使用 Django Rest 框架 JWT 令牌进行 API 身份验证。在特定情况下,我想停用为特定用户激活的令牌。
【问题讨论】:
标签: django rest api frameworks jwt
【发布时间】:2017-08-10 21:49:15
【问题描述】:
JWT 是无状态身份验证,这意味着它不会存储在服务器上的任何位置。当您在请求的标头中发送 JWT 令牌时,您的服务器只需检查令牌是否有效。
因此,您无法停用令牌 - 您只能在您的 Andriod 应用程序中删除它。
更多关于智威汤逊here。
【讨论】:
-
但是在这里我还面临另一个问题,即单用户凭证用户可以创建两个令牌,那么如何阻止呢?
-
你不能,jwt是无状态的。您可以拥有任意数量的令牌。您可以同时在多台设备上登录。
-
您可以设置较短的到期时间,然后根据需要刷新令牌(以延长到期时间)。因此,您可以为某些用户设置,如果他满足某些条件,您将不会刷新令牌。