时钟偏差和令牌

Question

我需要帮助来了解时钟偏差的工作原理。我们定义时钟偏差来处理两方之间的时间变化。但是，我的困惑是：

1. 我们在令牌本身中拥有令牌创建时间和过期时间等所有信息
2. 可以验证令牌
3. 在服务器上创建令牌

那么，为什么我们需要时钟偏差？谁能给我举例说明它的工作原理以及在哪些情况下会导致问题或好处？

Answer 1

让我们考虑一个短暂的访问令牌。当我向服务器发出请求时，服务器将检查我的令牌是否已过期。它如何检查它是否知道令牌的创建时间以及现在是什么时间。大多数访问令牌在一小时后过期，但这实际上取决于它在身份验证服务器中的设置方式。因此，如果令牌是在一个多小时前创建的，它就会过期，并且会通知用户。这就是我们尝试确保服务器与NTP 同步的原因。

让我们首先考虑一下究竟什么是时钟偏差。如果我们有两个身份验证服务器怎么办？你怎么知道他们会有相同的时间？如果他们实际上离开了几分钟怎么办。一台服务器将返回令牌已过期，而另一台则不会。如果您是一家小公司，这可能无关紧要。

现在考虑您是否是一家大型搜索引擎公司，其服务器遍布全球。可以说它是 2016 年的秋天，夏令时开始了。现在你有一些服务器在一个时间运行，而其他服务器在另一个时间运行。也许只是也许某个国家决定在他们开始夏令时时改变，并且大量代币无缘无故地失效。 免责声明我不为上述搜索引擎公司工作。我只是看着这件事发生，这是我对发生的事情的理论。

为什么我们需要时钟偏差。

您不需要它，但如果您有两个身份验证服务器，您可以拥有它。所以你可能应该处理它。 https://softwareengineering.stackexchange.com/a/245182/160992

Answer 2

好的，所以Clock skew 没有发生在您的机器上。默认情况下，clock skew 设置为 5 minutes。这就是jwt token 没有在预期时间到期的原因。

Answer 3

这意味着在 ValidateLifetime 模式下设置令牌过期时间的容差。ClockSkew 意味着对这种不一致的容差（在令牌发行者与其消费者的时间和时间之间）。

时钟偏差量指定验证 exp 和 nbf 声明时服务器和客户端时钟之间允许的时间差（以秒为单位）。推荐的默认值为 5。

Answer 4

Microsoft JWT 验证中间件存在时钟偏差。默认设置为 5 分钟，不能小于（300 秒/5 分钟）

有一个名为 ClockSkew 的令牌验证参数，它获取或设置在验证时间时应用的时钟偏差。 ClockSkew 的默认值为 5 分钟。这意味着如果您没有设置它，您的令牌将仍然有效长达 5 分钟。 如果您想在确切的时间使您的令牌过期；您需要将 ClockSkew 设置为零，如下所示，

 services.AddAuthentication("Bearer").AddJwtBearer("Bearer", options =>
        {
            options.Authority = "https://localhost:44347";
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateAudience = false,
                ValidateLifetime = true,
                ClockSkew = TimeSpan.Zero
            };
        });