如何使用 UTC 过期时间验证 JWT？

Posted 2023-03-10

【中文标题】如何使用 UTC 过期时间验证 JWT？

【英文标题】：How to verify JWT with UTC expiration time?

【发布时间】：2018-10-18 12:35:41

【问题描述】：

我已经使用 Auth0 JWT 库生成了 JWT，

                algorithm = Algorithm.HMAC256(secretkey);                  
                token = JWT.create()
               .withIssuer(issuer)
               .withExpiresAt(UTCExpDate) //UTC now + 30 mins added
               .withIssuedAt(UTCDate)
               .sign(algorithm);

当我尝试通过以下代码进行验证时，

             Algorithm algorithm = Algorithm.HMAC256(secretkey);
             JWTVerifier verifier = JWT.require(algorithm)
            .withIssuer(issuer)
            .build();  
             DecodedJWT jwt = verifier.verify(token);

得到以下 TokenExpiredException 异常，因为它使用当前时区进行验证，即 +5.30 而不是 UTC。有什么正确的方法可以解决这个问题吗？

com.auth0.jwt.exceptions.TokenExpiredException: The Token has expired on Tue May 08 13:55:57 IST 2018.
    at com.auth0.jwt.JWTVerifier.assertDateIsFuture(JWTVerifier.java:441)
    at com.auth0.jwt.JWTVerifier.assertValidDateClaim(JWTVerifier.java:432)

注意：我暂时通过在验证时添加 .acceptExpiresAt(19800) 来解决此问题。但我正在寻找 UTC 验证的正确解决方案。

【参考方案1】：

根据documentation，您可以提供自定义Clock 实现。将Verification 实例转换为BaseVerification 以获得接受自定义Clock 的verification.build() 方法的可见性。例如：

BaseVerification verification = (BaseVerification) JWT.require(algorithm)
    .acceptLeeway(1)
    .acceptExpiresAt(5);
Clock clock = new CustomClock(); // Must implement Clock interface
JWTVerifier verifier = verification.build(clock);