Как правильно определить время на клиенте, если у пользователя неправильно настроен часовой пояс в ОС?

Question

[Валерий Любимов]

На одном из проектов несколько раз столкнулся с очень неприятной проблемой связанной с жизнью токена и неправильно настроенным временем у клиента в ОС.

Сервер (время на сервере настроено верно) генерирует JWT токен с временем жизни 1 час. На клиенте неверно настроен часовой пояс, допустим должен быть +03:00, а на деле +00:00. Отсюда получаем проблему что когда на клиенте я проверяю жив ли еще токен, то сразу после логина получается что токен просрочен, в нашем случае на 2 часа.

На данном проекте клиентов у проекта не много и можно каждому отдельно объяснить, что надо просто правильно настроить часовой пояс. Но что если бы клиентов была сотни тысяч? Как тогда решить эту проблему?

Мне в голову приходит вариант брать на клиенте не его локальное время, а забирать его откуда-то с внешнего сервера, но быстрое гугление мне особо не дало результатов. Возможно смотрю не в том направлении? Подскажите кто сталкивался с подобными ситуациями?

Небольшой скринкаст для понимания сути проблемы: https://youtu.be/C3Oo1bDtI84

Comments

[Lynn «Кофеман»]

А зачем вообще на клиенте проверять время в токене?

[Валерий Любимов]

Алексей Тен, потому что SPA. Но ты меня навел на одну мысль, спасибо)

[Lynn «Кофеман»]

А какая разница SPA/не-SPA.
Токен сам по себе не интересен. Он нужен только при запросе к серверу, вот пусть сервер и проверяет время жизни и отвечает ошибкой если токен протух.

[Валерий Любимов]

Алексей Тен, да, об этом я и подумал, надо будет тогда поменять логику работы приложения с двух сторон

Answer 1

[Петр]

Так в вашем вопросе есть и ответ. Проблема в часовом поясе, исключите проблему, то есть уберите зависимость от часового пояса. Используйте UTC время

Comments

[Валерий Любимов]

Спасибо, посмотрю в этом направлении. Но в теории, мы также можем столкнуться с этой проблемой, если допустим пользователь выставит неправильный год.

[Александр]

Проблема в часовом поясе, исключите проблему, то есть уберите зависимость от часового пояса

Скорее всего проблема не в часовом поясе, а в неправильно настроенном времени на клиенте и то, что оно не синхронизируется по internet.
Например возьмем время, когда по UTC 12 часов дня. Клиента Выствляет 15 часов, т.к. живет по МСК, но пояс стоит на +0, а не +3. В итоге timestamp сбит, т.к. он выставил 15 часов по UTC, а не МСК.

[Петр]

Александр, Синхронизируется именно UTC время, а отображается в зависимости от настроек часового пояса. В вопросе говорилось именно, что часовой пояс выставлен не верно. Как синхронизация по internet определит, где вы, в Самаре, Казани или Уфе? Никак. Временная зона это пользовательская настройка.

[Валерий Любимов]

Петр, не знаю как в винде, но вот у меня на рабочем маке таймзона определяется автоматически) Ну это так к слову.

Я тут посмотрел на тему отказа от часовых поясов, но как правило все решения касались вообще отказа от времени. Нет времени, нет таймзон, нет проблем. Но в моем случае отказаться от времени не получится.

На самом деле Александр выше все верно описал. На клиенте я как раз таки сравниваю timestamp который приходит с сервера и клиентский, токен считаю актуальным до тех пор пока timestamp сервера > timestamp клиента. Из-за неправильно выставленной таймзоны, пользователь пытается выставить правильное время тем самым смещая свой timestamp на ту разницу которая между выставленной таймзоной и его настоящей таймзоной.

[Петр]

Валерий Любимов, У вас на Маке таймзона скорее всего определяться через GeoIP.
UTC время на машинах с установленной разной таймзоной будет одинаково. https://time.is/ru/UTC

[Александр]

Петр, нет, если клиент выставит неправильно зону и будет настравить время вручную по местному времени. У них UTC время будет разное.

[Валерий Любимов]

Петр, записал небольшой скринкаст для большего понимания) https://youtu.be/C3Oo1bDtI84

[Петр]

Валерий Любимов, Заметьте, что вы не тайм зону сменили, а время поправили. На 01:06 вы меняете тайм зону, а на 01:07 вы уже относительно таймзоны правите время. ;) реально вы поменяли UTC

[Валерий Любимов]

Петр, ну так я об этом и говорю) Пользователь выставляет свое реальное время, будь у него правильная таймзона или нет. Только если она неправильная, то происходит смещение которое я как раз и хочу побороть.

Answer 2

[Владимир]

Гугль, например никак не решает эту проблему, он просто пишет, вы не можете залогиниться потому что у вас неправильно настроено время на компе.

Answer 3

[Валерий Любимов]

Нашел вот такое апи worldtimeapi.org попробую использовать его для определения настоящего времени вместо клиентского