专栏首页Python七号JWT 的 Token 过期时间为什么没有生效

JWT 的 Token 过期时间为什么没有生效

在我第一次在 DRF(Django REST Framework)中使用 JWT 时,感觉 JWT 非常神奇,它即没有使用 session、cookie,也不使用数据库,仅靠一段加密的字符串,就解决了用户身份验证的烦恼。

直到我遇到了一个当时百思不得解的问题,才揭开了它的神秘面纱。

当时遇到的问题就是,无论怎么设置 JWT TOKEN 的过期时间,都没有生效,即使设置为 1 秒后过期,过了 1 分钟,TOKEN 还是可以正常使用,重启 Django 服务也不行。

没有别的办法,我就硬着头皮去追着源码,看看 JWT 是怎么判断 TOKEN 是否过期的。

具体的方法就是,深度优先追溯 JWT 代码的源头。在 DRF 中,配置了 DEFAULT_AUTHENTICATION_CLASSES 就是 JWT:

直接定位至这个类,发现它继承了 BaseJSONWebTOKENAuthentication

然后看 BaseJSONWebTOKENAuthentication,发现有一段判断过期的逻辑:

继续展开 jwt_decode_handler 这个函数,发现它调用了 jwt.decode 函数

展开 jwt.decode 函数,发现它调用了函数 _validate_claims

函数 _validate_claims 又调用了 _validate_exp

然后展开 _validate_exp,找到了这段:

发现过期时间 exp 来自 payload,payload 又来自 TOKEN 本身:

至此谜底揭开,原来,TOKEN 的过期时间其实被编码在了 TOKEN 本身,服务器收到 TOKEN 时先进行解码,解码出过期时间,然后和当前时间进行对比,如果当前时间比较小,说明没有过期,TOKEN 就是有效的,否则返回客户端 "Signature has expired."

我 Debug 出了这个 TOKEN 的过期时间 exp,发现这个 exp 是修改 JWT_EXPIRATION_DELTA 之前的那个过期时间,原来修改 JWT_EXPIRATION_DELTA 之后需要重新生成 TOKEN,这样的过期时间才会按照新的来。

至此,JWT 的原理已经非常清晰了:

用户第一次登录时,服务器(JWT)会获得用户名、用户 id,在加上设置的过期时间构建 payload:

payload = {
        'user_id': user.pk,
        'username': username,
        'exp': datetime.utcnow() + api_settings.JWT_EXPIRATION_DELTA
    }

然后将 payload 用设置好的算法使用私钥加密成 token

def jwt_encode_handler(payload):
    key = api_settings.JWT_PRIVATE_KEY or jwt_get_secret_key(payload)
    return jwt.encode(
        payload,
        key,
        api_settings.JWT_ALGORITHM
    ).decode('utf-8')

token 返回至客户端后,客户端缓存该 token,然后每一次请求时都带上该 token。

服务器在收到请求时先验证该 token,验证的过程就是对 token 进行逆向解码:

def jwt_decode_handler(token):
    options = {
        'verify_exp': api_settings.JWT_VERIFY_EXPIRATION,
    }
    # get user from token, BEFORE verification, to get user secret key
    unverified_payload = jwt.decode(token, None, False)
    secret_key = jwt_get_secret_key(unverified_payload)
    return jwt.decode(
        token,
        api_settings.JWT_PUBLIC_KEY or secret_key,
        api_settings.JWT_VERIFY,
        options=options,
        leeway=api_settings.JWT_LEEWAY,
        audience=api_settings.JWT_AUDIENCE,
        issuer=api_settings.JWT_ISSUER,
        algorithms=[api_settings.JWT_ALGORITHM]
    )

解密使用同样的算法,使用公钥或私钥进行解密,解密成功且不过期,则认为用户有权限访问,正常返回。

最后

这个问题至少花了我半个小时的时间,如果你遇到这种情况,能瞬间明白其中缘由,那本文的目的就达到了。

源码之下无秘密,遇到问题,去看源码可能不是解决问题最快的方法,却是提升自己最快的方法。很多开源软件设计模式的应用都非常值得我们学习,比如 DRF 的模块设计,通过 mixins 组合来实现灵活可扩展的 APIView,通过子类传入相关的 class 来实现用户自定义的功能。如何写出灵活可扩展、高内聚低耦合、符合开闭原则的程序,阅读开源代码,是一个非常高效的学习方式。

当然了,这需要先对设计模式有一个系统的学习,让自己有一双慧眼,不然就是守着金山不自知。

如果有帮助,欢迎点赞、在看、关注

本文分享自微信公众号 - Python七号(PythonSeven),作者:somenzz

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-09-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何在SpringBoot中集成JWT(JSON Web Token)鉴权

    现在我们知道,JWT其实是一种开放标准,用于在多点之间安全地传输用JSON表示的数据。在传输的过程中,JWT以字符串的形式出现在我们的视野中。该字符串中的信息可...

    SH的全栈笔记
  • golang之JWT实现

    JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息...

    孤烟
  • 一篇文章告诉你JWT的实现原理

    编辑:业余草 来源:https://www.xttblog.com/?p=4940

    业余草
  • 注意!JWT不是万能的,入坑需谨慎!

    越来越多的开发者开始学习 JWT 技术并在实际项目中运用 JWT 来保护应用安全。一时间,JWT 技术风光无限,很多公司的应用程序也开始使用 JWT(Json...

    用户1516716
  • 注意!JWT不是万能的,入坑需谨慎!

    任何技术框架都有自身的局限性,不可能一劳永逸,JWT 也不例外。接下来,将从 JWT 的概念,基本原理和适用范围来剖析为什么说 JWT 不是银弹,需要谨慎处理。

    Bug开发工程师
  • 让jwt来保护你的接口服务

    以前写过一篇关于接口服务规范的文章,原文在此,里面关于安全性问题重点讲述了通过appid,appkey,timestamp,nonce以及sign来获取toke...

    Java旅途
  • JWT

    JSON Web Tokens are an open, industry standard RFC 7519 method for representing ...

    晚上没宵夜
  • 建议收藏 | JWT 超详细分析

    本篇文章我要从一个更深的层次来探讨 JWT 在实际运用中的使用以及其优缺点,以及 JWT 和 Oauth 2.0 这两者到底有什么差别和联系。

    码农编程进阶笔记
  • JWT 也不是万能的呀,入坑需谨慎!

    任何技术框架都有自身的局限性,不可能一劳永逸,JWT 也不例外。接下来,将从 JWT 的概念,基本原理和适用范围来剖析为什么说 JWT 不是银弹,需要谨慎处理。

    江南一点雨
  • JSON Web Token到底是什么

    JSON Web Token简称JWT,发音一般为”jot“,是一种标准,定义了在各方之间传输信息的URL安全方法。该标准遵循RFC-7519规范。

    溪歪歪
  • Django rest-framework的jwt认证

    总共分为4部,只有在用户重新登录时才会再次签发新的token,如果原token没有超过过期时间,也是有效的,并且会在每个需要登录的接口中客户端会携带token与...

    GH
  • 使用 NodeJS 实现 JWT 原理

    我们用nodejs为前端或者其他服务提供resful接口时,http协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户...

    前端老王
  • JWT-JSON WEB TOKEN使用详解及注意事项

    原文链接:https://www.choupangxia.com/2019/11/20/jwt-json-web-to...

    程序新视界
  • 我们真的需要JWT吗?

    JWT(JSON Web Token)是目前最流行的认证方案之一。博客园、各种技术公众号隔三差五就会推一篇JWT相关的文章,真的多如牛毛。但我对JWT有点困惑,...

    kklldog
  • JSON Web Token 长文扫盲帖

    本文要是讲 JWT(JSON Web Token) ,我刚接触这个这个知识点的时候,心路历程是这样的:

    JSCON简时空
  • JWT(JSON Web Token)

    HTTP Basic Auth 一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,...

    Se7en258
  • 【小家思想】通俗易懂版讲解JWT和OAuth2,以及他俩的区别和联系(Token鉴权解决方案)

    OAuth是一个关于授权(authorization)的开放网络协议,在全世界得到广泛应用,目前的版本是2.0版。

    YourBatman
  • jwt思维导图,让jwt不再难懂

    一般情况下,web项目都是通过session进行认证,每次请求数据时,都会把jsessionid放在cookie中,以便与服务端保持会话。

    java思维导图
  • Token认证

    爱撒谎的男孩

扫码关注云+社区

领取腾讯云代金券