Django-rest-framework-jwt中的刷新令牌

Django-rest-framework-jwt（版本1.11.0）不支持像这里描述的"刷新令牌"。它只支持刷新尚未过期的令牌，并且可以使用JWT_EXPIRATION_DELTA设置一个滑动过期窗口的宽度，从而轻松实现滑动过期。例如：

'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300),
'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7),

为了保持登录状态，用户不能无活动超过五分钟（文档）。

请使用真正的Refresh Tokens？

可以实现“刷新令牌（Refresh Tokens）”，这是一种非常长寿的（“从不过期”）令牌，与传统的“HTTP会话和SessionIDs”一样存储在数据库中。事实上，django-rest-framework-jwt已经在 django-rest-framework-jwt-refresh-token 中实现了此功能。另一种可能性是使用django-rest-framework-simplejwt，它还实现了具有访问和刷新令牌的JWT（完整示例请参见Medium）。

但是..为什么？

与仅使用Access Token JWT相比，使用Refresh Tokens可以在Access Token过期后撤销访问权限。 Refesh令牌使得令牌可以具有非常长的寿命（“移动设备寿命”）。如果您创建了Refresh Tokens集合并访问它，则可以询问为什么不仅使用会话（Cookie中的sessionid和数据库表中的会话数据）。使用一个小时过期时间的访问令牌意味着必须每小时访问一次数据库（而不是在使用“传统”会话时每个PUT / POST请求访问一次）。此外，您还可以获得JWT令牌的所有常规好处（例如，在微服务网络中使用的易用性）。

您可以使用刷新令牌，在Oauth2.0中定义了这一概念。刷新令牌是用于获取访问令牌的凭证。授权服务器会向客户端颁发刷新令牌，用于在当前访问令牌失效或过期时获取新的访问令牌。
成功登录后，应发放刷新令牌和访问令牌。尽管访问令牌很快就会过期，但刷新令牌的生命周期较长。请安全地存储它，并在当前访问令牌过期时使用它来发放新的访问令牌。