我没有在2.0规范的任何地方看到它,OAuth 2是否不使用随机数,如果不是,那么现在它可以防止重放攻击吗?
该1.0规范状态:
3.3。即刻和时间戳
时间戳记值必须为正整数。除非服务器文档另有说明,否则时间戳以自格林威治标准时间1970年1月1日00:00:00起的秒数表示。
随机数是一个随机字符串,由客户端唯一生成,以允许服务器验证之前从未提出过请求,并有助于防止在通过非安全通道发出请求时发生重放攻击。随机数值在所有具有相同时间戳,客户端凭证和令牌组合的请求中必须唯一。
为了避免为将来的检查保留无限数量的现时值,服务器可以选择限制拒绝旧时间戳请求的时间段。请注意,此限制意味着客户端和服务器时钟之间的同步级别。施加这种限制的服务器可以为客户端提供一种与服务器时钟同步的方式。或者,两个系统都可以与受信任的时间服务同步。时钟同步策略的详细信息超出了本规范的范围。
| 归档时间: |
|
| 查看次数: |
7899 次 |
| 最近记录: |