Я понимаю что вы имете в виду. Но вот алгоритм который я не смогу решить(C JWT):
1) Пользователь входит на сайт (проверяются его данные, они верные и ему выдается токен и перебрасывается на страницу смены пароля)
2) Он может взять токен и использовать его к другим end points (Например через curl) минуя смену пароля

примерно такую же задачу решал через флаг у пользователя и middleware которое(-ая?) проверяет наличие флага и блокирует доступ

Блокировка доступа каким образом происходит?(Что именно блокируете?) И как средство проверки безопасности JWT? Сессии?

мой кейс таков:
— пользователь после регистрации дожен подтвердить контактные данные
— до подтверждения он может аутентифицироваться и попасть только на страницу подтверждения
— middleware проверяет подтверждены ли данные и если нет, блокирует запросы по любым другим url
по идее, не важно через что происходит аутентификация, так можно ограничить доступ ко всем endpoint’ам кроме нужного

но может я просто неверно понял суть вашей проблемы

Спасибо за подробный ответ

Ок покажите вариант сортировки на питоне

sorted(arr)

Но там сортировки нет

В коде  мы вибираем самое длинные значения в массиве, как такое-же можно организовать на python

Мап+макс

Может кто-то сталкивался с проблемой:
кидает трейсбэк

AttributeError: 'Client' object has no attribute 'credentials'

при использовании APIClient'а из rest_framework.test

в то время когда у него есть этот метод

Хотя вот проинспектил, действительно нет

устанвил pgadmin4, postgresql 11, пытаюсь создать сервер

и вот когда ввожу пароль postgres1234

ну, можно ему разные токены с разными наборами прав генерировать) первый только на смену пароля, второй на что-нибудь другое)

но вообще, "пользователь должен был сменить пароль, а вместо этого он "похакал" сам себя и пошел на другую страницу" - это не уязвимость, это "сам дурак"

ну, и если пользователь сам устанавливал свой пароль при регистрации и он прошёл проверку на длину и сложность, то принудительная смена пароля при первом входе - это антипаттерн, как пользователь я хотел бы иметь кнопку Skip

при таком кейсе — да; однако пароли ему могут заводиться и автоматом, рассылаться по почте/смс; а это уже дыра