AWS SDK for PHP 中SSO凭证过期时间错误问题解析

问题背景

在使用AWS SDK for PHP时，开发者发现通过IAM Identity Center获取的SSO凭证存在过期时间设置错误的问题。具体表现为获取到的凭证过期时间被设置为大约421年后的未来时间，这显然不符合实际情况。

问题根源

经过分析，问题的根本原因在于AWS SSO服务返回的时间戳格式处理不当。SSO服务返回的时间戳实际上是以毫秒为单位的Unix时间戳，而SDK代码中却将其直接当作秒级时间戳处理，导致时间计算错误。

例如，当服务返回"expiresAt": 1738217267000时：

• 正确值：应转换为秒级时间戳1738217267（对应2025年1月30日）
• 错误处理：直接使用毫秒级时间戳1738217267000（对应57051年11月30日）

影响范围

该问题主要影响以下场景：

1. 使用SSO凭证提供程序（CredentialProvider::sso()）获取凭证时
2. 当本地缓存的SSO会话令牌过期后尝试刷新凭证时
3. 与缓存适配器（如PsrCacheAdapter）结合使用时，会导致缓存过期检查失效

解决方案

AWS SDK for PHP团队已修复此问题，修复方案主要是正确处理毫秒级时间戳到秒级时间戳的转换。具体修改是在获取SSO服务凭证时，将返回的过期时间除以1000转换为秒。

最佳实践建议

1. 及时更新SDK：确保使用包含此修复的最新版本AWS SDK for PHP
2. 测试凭证生命周期：在开发环境中测试SSO凭证的完整生命周期，包括获取、使用和刷新
3. 监控凭证过期：实现适当的监控机制，确保凭证能够按预期刷新
4. 合理设置缓存：如果使用凭证缓存，确保缓存时间不超过凭证实际有效时间

技术细节

在修复前，SDK中处理SSO凭证过期时间的代码如下：

$expiration = $ssoResponse['roleCredentials']['expiration'];

修复后，代码改为：

$expiration = $ssoResponse['roleCredentials']['expiration'] / 1000;

这个简单的修改确保了时间单位的正确转换，解决了过期时间计算错误的问题。

总结

时间戳单位不一致是分布式系统中常见的问题之一。AWS SDK for PHP通过这次修复，加强了对SSO凭证生命周期的正确处理。开发者在使用SSO凭证时，应当注意SDK版本，并充分测试凭证刷新逻辑，以确保应用程序的稳定运行。