flask-jwt-extended：装饰器@jwt.token_in_blacklist_loader 总是撤销令牌

Question

在我的 app.py 中，我初始化了 flask-jwt-extended 如下：

# Setup the Flask-JWT-Extended extension
app.config['RESTPLUS_MASK_SWAGGER'] = False # remove default X-Fields field in swagger
app.config['JWT_SECRET_KEY'] = 'super-secret'  # Change this!
app.config['JWT_BLACKLIST_ENABLED'] = True
app.config['JWT_BLACKLIST_TOKEN_CHECKS'] = ['access', 'refresh']
jwt = JWTManager(app)

然后我使用代码段在登录中创建令牌：

            expires = datetime.timedelta(minutes=10)
            access_token = create_access_token(identity=payload['email'], fresh=True, expires_delta=expires)
            refresh_token = create_refresh_token(identity=payload['email'])

奇怪的是，如果我将装饰器 @jwt.token_in_blacklist_loader 添加到某个端点，我总是收到“令牌已被撤销”错误消息。

@jwt.token_in_blacklist_loader
@api.route('/')
class UserList(Resource):
    @jwt_required
    @api.doc('list_users')
    @api.marshal_list_with(user)
    def get(self):
        '''Get all users'''
        users = UserApi.query.all()
        return users

据我所知，这个装饰器是检查令牌是否被列入黑名单，我只是从登录创建一个新令牌，创建新令牌并检查令牌是否被列入黑名单的最佳实践是什么？

Answer 1

从flask-jwt-extended的文档flask-jwt-extended ：

此装饰器设置回调函数，当访问受保护的端点时将调用该回调函数，并将检查 JWT 是否已被撤销。 默认情况下，不使用此回调。

提示：回调必须是一个函数，它接受一个参数，即解码后的 JWT（python 字典），如果令牌已被列入黑名单（或被视为已撤销），则返回True否则返回False 。

token_in_blacklist_loader装饰器用于在访问受保护端点时设置回调函数。 您应该在检查您的令牌是否被列入黑名单的函数上使用此装饰器。 使用内存保存列入黑名单的令牌的简单示例：

blacklist = set()
@jwt.token_in_blacklist_loader
def check_if_token_in_blacklist(decrypted_token):
    jti = decrypted_token['jti']
    return jti in blacklist

有关更多信息，请查看此处的示例： https : //flask-jwt-extended.readthedocs.io/en/stable/blacklist_and_token_revoking/

Answer 2

记得将新生成的access_token（来自refresh_token）添加到黑名单数据库中吗？ Blacklist db 中不存在的所有令牌都被假定为被撤销......