oauth - 时钟偏差和 token

Question

我需要帮助来了解时钟偏差的工作原理。我们定义时钟偏差来处理两方之间的时间变化。但是，我的困惑是:

我们在 token 本身中拥有所有信息，例如 token 创建时间和到期时间

可以验证 token

token 在服务器上创建

那么，为什么我们需要时钟偏差呢？谁能给我一个例子来说明它是如何工作的以及它在哪些情况下会导致问题或好处？

Answer 1

让我们考虑一个短期访问 token 。当我向服务器发出请求时，服务器将检查我的 token 是否已过期。它如何检查它是否知道 token 何时创建以及现在是什么时间。大多数访问 token 会在一个小时后过期，但这实际上取决于它在身份验证服务器中的设置方式。因此，如果 token 是在一个多小时前创建的，则它已过期，并且会通知用户。这就是我们尝试确保服务器与 NTP 同步的原因。 .

让我们首先考虑什么是时钟偏差。如果我们有两个身份验证服务器怎么办？你怎么知道他们会有相同的时间？如果他们实际上差了几分钟怎么办。一台服务器将返回 token 已过期，而另一台则不会。如果您是一家小公司，这可能无关紧要。

现在考虑一下您是否是一家在全局拥有服务器的大型搜索引擎公司。假设它是 2016 年的秋天，夏令时开始了。现在您有一些服务器在一个时间运行，而其他服务器在另一个时间运行。也许只是某个国家/地区决定在开始夏令时时进行更改，并且大量代币无缘无故失效。免责声明我不为上述搜索引擎公司工作。我只是看着这件事发生，这是我对发生的事情的理论。

Why do we need clock skew.

您不需要它，但如果您有两个身份验证服务器，则可以拥有它。所以你可能应该处理它。 https://softwareengineering.stackexchange.com/a/245182/160992