15

我正在使用 AspNet.Security.OpenIdConnect.Server 发布 JWT 令牌并将 AuthorizationCodeLifetime 设置为 30 秒进行测试。这是我用来设置选项的代码片段

        options.TokenEndpointPath = "/api/token";
        options.AllowInsecureHttp = true;
        options.AccessTokenHandler = new JwtSecurityTokenHandler();
        options.SigningCredentials.Add(new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256));
        options.AccessTokenLifetime = TimeSpan.FromSeconds(30);
        options.AuthorizationCodeLifetime = TimeSpan.FromSeconds(30);

返回的令牌包含:

  "expires_in": 30,

并且反序列化的令牌包含以下声明:

 "nbf": 1476915220,
 "exp": 1476915250,
 "iat": 1476915220,

如您所见,exp(过期时间)是 iat(发布时间)之后的 30 秒。然而,令牌在过期 5 分钟后才会触发 401 Unauthorized。如果我们将 exp 编号插入http://www.epochconverter.com/,那么我们将看到其计算结果为 2016 年 10 月 19 日星期三 22:14:10 GMT,即我当地时间下午 5:14:10。

以下是核心库的一些记录输出:

Microsoft.IdentityModel.Tokens.SecurityTokenExpiredException: IDX10223: Lifetime validation failed. The token is expired.
ValidTo: '10/19/2016 22:14:10'
Current time: '10/19/2016 22:19:10'.
   at Microsoft.IdentityModel.Tokens.Validators.ValidateLifetime(Nullable`1 notBefore, Nullable`1 expires, SecurityToken securityToken, TokenValidationParameters validationParameters)
   at System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler.ValidateLifetime(Nullable`1 notBefore, Nullable`1 expires, JwtSecurityToken securityToken, TokenValidationParameters validationParameters)
   at System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler.ValidateToken(String token, TokenValidationParameters validationParameters, SecurityToken& validatedToken)
   at Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerHandler.<HandleAuthenticateAsync>d__1.MoveNext()
info: Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerMiddleware[7]
      Bearer was not authenticated. Failure message: IDX10223: Lifetime validation failed. The token is expired.
ValidTo: '10/19/2016 22:14:10'
Current time: '10/19/2016 22:19:10'.

当然,这个输出并不能证明服务器在 22:14:10 到 22:19:10 之间接受了令牌。如果我碰巧在它过期后等待了 5 分钟然后尝试验证令牌,这就是它会做的事情,但你必须相信我的话。我在 Postman 中进行测试,每秒都单击“发送”,直到它返回 401。

那么这是什么一回事?是否有一些我不知道的内置 5 分钟缓冲区?有趣的是,AccessTokenLifetime 的默认值为 5 分钟,但令牌肯定反映了我已将其更改为 30 秒。这是怎么回事?

我正在使用的相关库:

<package id="AspNet.Security.OpenIdConnect.Extensions" version="1.0.0-beta6-final" targetFramework="net452" />
<package id="AspNet.Security.OpenIdConnect.Server" version="1.0.0-beta6-final" targetFramework="net452" />
<package id="Microsoft.AspNetCore.Authentication.JwtBearer" version="1.0.0" targetFramework="net452" />
4

2 回答 2

23

那么这是什么一回事?是否有一些我不知道的内置 5 分钟缓冲区?这是怎么回事?

您所说的“缓冲区”实际上是 JWT 承载中间件(由 Microsoft 开发)提供的内置功能,称为“时钟偏差”,旨在​​减轻网络农场中时钟不同步的影响。

如您所见,默认值设置为 5 minutes,但可以通过JwtBearerOptions.TokenValidationParameters.ClockSkew.

于 2016-10-20T01:06:27.663 回答
1

我试过 ClockSkew = TimeSpan.Zero:

new TokenValidationParameters
    {
                ClockSkew = TimeSpan.Zero
    };

原因是 ClockSkew 的默认值为 5 分钟

于 2019-11-20T23:24:16.660 回答