当用户时钟不正确时,IdentityServer4和oidc-client-js身份验证(隐式流程)出现问题。如果用户的时钟关闭时间超过5分钟,则浏览器将陷入持续的重定向循环,在该循环中,浏览器会从IdentityServer来回弹跳到回调页面。
似乎oidc-client-js中有一个clockSkew设置,允许在验证令牌时允许当前时间的偏差,默认值是5分钟。我假设我可以增加此默认值以允许更大的偏差。但是,有没有一种方法可以通过缩短服务器时间而不是依靠客户端来解决此问题?
某些用户的时钟已关闭一个小时或更长时间。通过大量增加clockSkew是否存在主要的安全问题?