6

我正在使用jjwtjwt 令牌创建。使用本地系统时间设置到期日期时,一切正常,即

日期 expDate = new Date(new Date().getTime() + 180000); //java.util.Date

但我尝试使用 UTC 格式的日期时间并用相同的 3 分钟到期日期签署了 jwt 令牌。现在它正在抛出ExpiredJwtException,即使我在创建令牌后立即进行验证。我正在使用 SimpleDateFormat 将时区设置为 UTC。这是我在 java 中使用 jjwt 创建令牌的代码:

    SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
    sdf.setTimeZone(TimeZone.getTimeZone("UTC"));
    SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
    Date expDate, issDate;
    try {
        expDate = (Date) simpleDateFormat.parse(sdf.format(new Date().getTime() + 180000));
        issDate = (Date) simpleDateFormat.parse(sdf.format(new Date().getTime()));
        JwtBuilder builder = Jwts.builder()
                .setExpiration(expDate)
                .setIssuedAt(issDate)
                .setId(id)
                .signWith(signingKey, signatureAlgorithm);
        jwtToken = builder.compact();
    } catch (ParseException ex) {
    }

令牌已成功创建。我也可以在线验证内容。expDate 比 issDate 早 3 分钟。我还在通过传递创建的令牌创建令牌后立即调用用于验证令牌的方法。我的验证方法有:

    try {
        Jwts.parser().setSigningKey(signingKey).parseClaimsJws(token);
        log.info("jwt verification success");
    } catch (ExpiredJwtException exJwt) {
        log.info("expired jwt : \n{}", exJwt.getMessage());
    } catch (JwtException e) {
        log.info("tampered jwt");
    }

但我越来越ExpiredJwtException。错误是

expired jwt :JWT 于 2019-05-17T01:24:48Z 过期。当前时间:2019-05-17T07:06:48Z,相差20520836毫秒。允许的时钟偏差:0 毫秒。

从我的日志来看,此时我的令牌中的发行日期和到期日期是:

issued date is: 2019-05-17T07:06:48.000+0545
expiry date is: 2019-05-17T07:09:48.000+0545

这是怎么回事?并感谢您的帮助。

4

1 回答 1

11

这里没有必要SimpleDateFormat,因为它表示自Unix EpochDate以来的毫秒数,即 1970 年 1 月 1 日午夜(UTC)。

然而,可能引起混淆的是该方法toString()因为它在生成表示该值的字符串时应用了 JVM 的默认时区。

当您关注 UTC 时,让我提请您注意协调世界时 (UTC) 的实际含义:它是一个时间标准(而不是时区),它由高度精确的原子钟和地球自转共同决定。

UTC 时间标准经过多次调整,直到 1972 年引入闰秒以使 UTC 与地球自转保持一致,这并不完全均匀,而且不如原子钟精确。随着地球自转速度的放缓,我们不得不时不时地在这里和那里插入闰秒:

来自 xkcd 的图表记录了计时员与时间之间的战争

虽然 的内部值Date旨在反映 UTC,但由于那些闰秒,它可能不会完全如此。

Java 8 和新的日期和时间 API

即使Date在 UTC 方面符合您的需求,您也应该避免使用它。它现在是一个遗留类

Java 8为基于​​ ISO 日历系统的日期、时间、瞬间和持续时间引入了新的 API 。最接近的等价物DateInstant表示时间戳,即 UTC 时间线上的时刻。

要以 UTC 捕获当前时刻,您可以使用以下命令:

Instant.now();              // Capture the current moment in UTC

您可以使用以下内容获取表示此类值的字符串:

Instant.now().toString();   // 2019-05-17T12:50:40.474Z

此字符串根据ISO 8601进行格式化,其中Z表示给定时间为 UTC。

与 JJWT 的互操作性

为了与尚不支持这些类型的 JJWT 进行互操作java.time,您可以创建Datefrom的实例Instant

Date.from(Instant.now());   // Convert from modern class to legacy class

这是一个演示如何发布和验证令牌的测试:

@Test
public void shouldMatchIssuedAtAndExpiration() {

    Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);

    Instant issuedAt = Instant.now().truncatedTo(ChronoUnit.SECONDS);
    Instant expiration = issuedAt.plus(3, ChronoUnit.MINUTES);

    log.info("Issued at: {}", issuedAt);
    log.info("Expires at: {}", expiration);

    String jws = Jwts.builder()
            .setIssuedAt(Date.from(issuedAt))
            .setExpiration(Date.from(expiration))
            .signWith(key)
            .compact();

    Claims claims = Jwts.parser()
            .setSigningKey(key)
            .parseClaimsJws(jws)
            .getBody();

    assertThat(claims.getIssuedAt().toInstant(), is(issuedAt));
    assertThat(claims.getExpiration().toInstant(), is(expiration));
}

对于上面的示例,我使用了 JJWT 0.10.5 和文档中列出的依赖项。如果您需要,上面的代码是用以下import语句编写的:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import lombok.extern.slf4j.Slf4j;
import org.junit.Test;

import java.security.Key;
import java.time.Instant;
import java.time.ZoneOffset;
import java.time.temporal.ChronoUnit;
import java.util.Date;

import static org.hamcrest.CoreMatchers.is;
import static org.junit.Assert.assertThat;
于 2019-05-17T08:58:33.127 回答