除非设置了ClockSkew，否则过期的令牌仍然有效

Question

我遇到了一个问题，我的过期令牌(寿命为20秒)仍然可以工作大约4-5分钟，在花费时间研究它后，我发现这是因为ClockSkew默认设置为5分钟，在我将其设置为0后，没有其他问题。

我希望我的jwt的生命周期在1到5分钟之间，并且有一个可持续几周的刷新令牌，因此，jwt会不断刷新。但是我想知道，为什么ClockSkew设置为5分钟(我假设它就是这个值)。既然我把它改成了0，它会导致什么错误呢？

Answer 1

ClockSkew的一种有用的情况是，当您有两个身份验证服务器时，如何知道它们是同步的？如果第一个说它没有过期，然后第二个过期了，会发生什么？这显然会带来问题。因此，它的设置通常会考虑多个认证服务器的时序。

这里有一个很好的解释：https://softwareengineering.stackexchange.com/questions/245173/how-much-time-should-you-allow-for-clock-skew/245182#245182

如果您只使用一个身份验证服务器(大多数情况下)，这不会导致任何问题，并将使您的生活在测试时更容易，因为您不必每次都要等待5分钟。