[JWT]校验用户身份信息失败，但依然能获取token的值，求解

1. 问题描述？#

我在 A 服务器与 B 服务器上分别部署了一模一样的 Laravel9 项目代码，使用 nginx 做负载均衡，将接口请求轮流转发到两台服务器上，客户端访问网站域名后会先到达 master 服务器，然后由 master 服务器轮流转发请求到 A 与 B 服务器上处理 PHP 的逻辑

A 与 B 的 Linux 版本号，PHP 版本，nginx 版本都是一模一样的，PHP 代码文件里，.env 文件中的 JWT 的秘钥、加密方式、有效时间都是一模一样的

现在的问题是
当我请求登录时，master 服务器将登录请求转发给 A 服务器，生成一个 JWT 的 token 返回给客户，客户带着这个 token 做后续请求时，master 服务器将后续请求转发给 B 服务器，在 B 服务器上第一次验证用户身份时是验证不通过的，但是可以拿到 token 的值

也就是 auth (‘user’)->check () 的结果是 false
但是 auth (‘user’)->getToken () 的结果是有值的

但是当再次发起请求时无论是 A 处理还是 B 处理都是可以成功校验用户 token 和身份信息的，只有在另一台服务器第一次校验 token 时会校验失败

但是两台服务器的各个配置版本，JWT 版本、秘钥、加密方式都是一模一样的

一开始以为 nginx 转发的时候没有把 request Headers 里面的 Authorization 带过去，但后来发现不是这个问题（因为在校验不成功的时候我使用 PHP 把 token 打印出来了，说明拿到 token 了但是 check 校验不成功），各位大佬有什么思路可以支支招吗？

2. 运行环境#

1). 当前使用的 Laravel 版本？#

Laravel 9.18.0

2). 当前使用的 php/php-fpm 版本？#

PHP 版本：8.0.22（两台服务器都是这个版本）

php-fpm 版本：8.0.22

3). 当前系统#

centos7.6（两台服务器上都是这个版本）

4). 业务环境#

JWT 版本：”tymon/jwt-auth”: “1.0.x-dev”

#JWT 的生效时间（分钟）
JWT_TTL=720（两台服务器都是一模一样的）

#JWT 的秘钥
JWT_SECRET = 暂时保密（两台服务器都是一模一样的）

#JWT 的算法
JWT_ALGO=HS256（两台服务器都是一模一样的）

5). 相关软件版本#

3. 您期望得到的结果？#

4. 您实际得到的结果？#

jwt token php nginx 负载均衡 authorization

<?php namespace App\Http\Middleware; use Closure; use Tymon\JWTAuth\Http\Middleware\BaseMiddleware; class JwtAuthMiddleWare extends BaseMiddleware { public function handle($request, Closure $next) { try { $this->checkForToken($request); if ( $this->auth->parseToken()->authenticate() ) { return $next($request); } } catch (\Exception $e) { \Log::info($e->getMessage()); } } }

public function handle(Request $request, Closure $next) { try { if ( auth('user')->parseToken()->authenticate() ) { return $next($request); }else { echo auth('user')->getToken(); exit; } }catch(\Exception $e){ \Log::info($e->getMessage()); } }

讨论数量: 25

php_yt

1.1k 声望

check 为 false 时，分析抛出的具体异常了吗

2年前评论

Dark_Pony （楼主）

要在哪里看验证失败抛出来的异常呢，他就是有token但是check验证不出来，但是第二次请求这台服务器时就能验证通过了

php_yt （作者）

@php_yt 系统提示BaseMiddleware已经快要废弃了，在字上面有一条横线

Dark_Pony

课程读者 3 声望

而且我自己用 APIPOST 工具，把 token 带到 header 里面，按照 Authorization => Bearer token，调用接口每一次都能验证通过，只有走客户端 vue 项目接口时会出现这个问题，真是奇怪

deatil

这种就是vue项目的请求配置错误了

Dark_Pony （作者）（楼主）

@deatil 但是如果是vue项目配置错误的话，那么应该每次请求都报错呀，怎么会第一次报错后面又都是正常的呢？

@Dark_Pony 报错是你发的那两个报错记录吗？那个错误是解析token失败了，所以就返回的不是对象就报没有方法的错误。具体的可以看下vue请求正常和不正常的请求的header是不是有区别

@deatil vue每次请求的header头都是长一模一样的，我在Chrome浏览器的network里看的

@Dark_Pony 这个没有问题的话，那就还有一个地方需要查了。就是第一次失败的时候，有个地方报错了。具体的可能是业务代码什么的，需要去排除掉这个错误。要么，用个空的项目来试下

@Dark_Pony 如果是时间问题的话，那就是默认的leeway有设置，设置为0就可以马上起效。而不是一定时间后

@deatil leeway在.env文件中确实没有设置，但是在jwt.php配置文件中写着：'leeway' => env('JWT_LEEWAY', 0)，这样也是会设置成0即使生效的吧

@Dark_Pony 那就是对的。照只有vue出现问题，最好还是再多确认下vue情况。token的过期时间默认是1小时，影响不大的

@Dark_Pony 除非出现了时区设置失效问题。可以打印下正常和错误的时候时间是不是和当前时间一样

@deatil 问题已经解决啦，感谢回复~

[2022-09-07 17:17:04] local.INFO: Method [authenticate] does not exist.
[2022-09-07 17:17:24] local.INFO: Method [authenticate] does not exist.

@php_yt

@Dark_Pony 抱歉，上面是错的，修改了

lgbxhr

25 声望

楼主看一下两台服务器的时间是不是一致，jwt 生成 token 时会包含一个 token 生成时间和一个可刷新时间，如果两台服务器的系统时间不一致，那么 A 服务器生成的 token 在 B 服务器可能会被校验失效，但是可刷新时间并未失效，因此可以获得新的 token，可以在两台服务器同时生成两个 token 拿出来解析下具体内容有什么差异。

两台服务器的时间是一致的，Linux的系统时间是一样的，Laravel的config.app.timezone都是"Asia/Shanghai"，

lgbxhr （作者）

@Dark_Pony 对token的校验做下细致全校验吧，主要看token里面的这几个内容'required_claims' => [ 'iss', 'iat', 'exp', 'nbf', 'sub', 'jti', ], 看一下具体的差异是什么，另外看下.env文件的jwt配置内容是不是一致

@lgbxhr 问题已经找到了，每台服务器之间的时间差了几秒钟导致的，目前已经同步时间了，很感谢你提供的思路！

@Dark_Pony 果然跟我之前遇到的一样，哈哈哈

我们现在在 nginx 的负载均衡里使用 ip_hash 的方式，确保同一个 IP 只会走同一台服务器，这样就避免了 A 服务器生成 token，B 服务器第一次校验失败的问题

各位问题已经找到了，是由于每台 Linux 服务器的时间相差几秒钟导致的，要同步系统时间才能避免这个问题！

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

[JWT]校验用户身份信息失败，但依然能获取token的值，求解

1. 问题描述？#