use*_*995 10 oauth
是的,我知道oauth是如何工作的,但我不知道为什么我们需要oauth_nonce.
oauth_nonce
规范说时间戳/ nonce必须是唯一的才能解决重放攻击,但是if consumer_key是否足够独特呢?
consumer_key
如果consumer_key不是唯一的,它如何找到相应的oauth_nonce?
kap*_*pex 12
密钥是唯一的,但不要经常更改.另一方面,nonce需要根据请求是唯一的.
请考虑以下情形.先决条件是:攻击者可以监视您的通信,但不知道任何秘密.如果没有nonce,他可以进行重播攻击:他可以简单地复制并重新发送您之前的任何请求,因为他知道您已经发送的请求是有效的.
nonce会阻止这种情况,因为服务器检查所有最近使用的nonce(有一个时间限制)并且不接受任何两次nonce.
归档时间:
11 年,5 月 前
查看次数:
5664 次
最近记录:
8 年,5 月 前