时钟偏差和标记

Microsoft JWT 验证中间件中存在时钟偏差。默认情况下设置为 5 分钟，不能更少（300 秒/5 分钟）

有一个名为ClockSkew的令牌验证参数，它获取或设置验证时间时要应用的时钟偏差。ClockSkew的默认值是5分钟。这意味着，如果您尚未设置，您的令牌将在最多5分钟内仍然有效。如果您希望您的令牌在确切的时间过期；您需要将ClockSkew设置为零，如下所示，

 services.AddAuthentication("Bearer").AddJwtBearer("Bearer", options =>
        {
            options.Authority = "https://localhost:44347";
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateAudience = false,
                ValidateLifetime = true,
                ClockSkew = TimeSpan.Zero
            };
        });

好了，时钟偏移不会发生在你的机器上。默认情况下，时钟偏差设置为5分钟。这就是JWT没有在预期时间到期的原因。

让我们考虑一个短期访问令牌。当我向服务器发出请求时，服务器将检查我的令牌是否已过期。它如何检查它知道令牌创建的时间以及现在的时间。大多数访问令牌在一小时后过期，但这实际上取决于它在身份验证服务器中的设置方式。因此，如果令牌是在一个多小时前创建的，那么它将过期，并通知用户。这就是我们试图确保服务器与NTP同步的原因。

让我们首先考虑一下时钟偏差到底是什么。如果我们有两个身份验证服务器怎么办？你怎么知道他们会有相同的时间？如果它们实际上偏离了几分钟怎么办。一台服务器将返回令牌已过期，而另一台服务器不会。如果你是一家小公司，这可能无关紧要。

现在考虑一下，如果你是一家大型搜索引擎公司，服务器遍布世界各地。假设现在是2016年秋天，夏令时开始了。现在你有一些服务器在一个时间运行，其他服务器在另一个时间运行。也许只是也许一些国家决定在他们开始夏令时改变，繁荣一堆令牌无缘无故地无效。免责声明我不为上述搜索引擎公司工作。我只是看着这一切发生，这是我对发生了什么的理论。

为什么我们需要时钟偏移。

你不需要它，但如果你有两个身份验证服务器，你可以拥有它。所以你可能应该处理它。https://softwareengineering.stackexchange.com/a/245182/160992