django-oauth-toolkit注销问题，每次都不提示用户输入用户名/密码

Question

我在网上找不到任何关于这个问题的信息，所以我把它放在这里！

我正在使用一个前端应用程序，它通过client_id重定向到后端的自定义工具包(django-oauth- auth_views.LoginView )，等等。(我使用的是隐式授权，顺便说一下)。

问题是当用户注销时，我使用/o/revoke_token，它成功地从数据库中删除了令牌。但是，当用户转过身并重新登录时，它再也不会提示他们输入用户名/密码。auth_views.LoginView将给出302，并使用有效的api_key重定向回前端。

我如何防止这种情况发生？我想在用户每次访问该页面时提示他们输入用户名/密码。这样，如果需要，他们可以注销，然后以不同的用户重新登录。

Answer 1

我也遇到了同样的问题，如果我没记错的话，那是因为你也需要注销。

此时，您的用户仍在登录，因此客户端将要求提供新的令牌，您的身份验证服务器将检查用户是否已正确登录，并将发现是正确的，并只提供新的令牌而不是重定向。

Answer 2

编辑:这不是一个好的解决方案。看看ZaX提供的另一个答案。

为了跟进这个问题，我最终通过将SESSION_COOKIE_AGE设置为一个很小的数字3来修复它，以允许登录，但不能保持用户会话的活动状态。这将迫使他们重新输入用户名/密码，但只要您有访问令牌，就没有必要从后端请求会话。