что используется для одноразового номера и метки времени в аутентификации HMAC

1) сервер должен отклонять метки времени, которые слишком сильно отклоняются от текущего времени. 2) сервер должен отклонять одноразовые номера, которые уже были использованы (в течение определенного периода времени)   -  person Brrrr    schedule 13.06.2016

Но что, если злоумышленник изменил временные метки на текущее время сервера и генерирует еще не использованные одноразовые номера??   -  person Sanjay Salunkhe    schedule 13.06.2016

если злоумышленник изменит эти поля, подпись изменится (будет создан другой хэш), что заставит сервер отклонить запрос. Обратите внимание, что для этого в хешированную полезную нагрузку должны быть включены метка времени и одноразовый номер.   -  person Brrrr    schedule 13.06.2016

@Bor - Спасибо, я получил ответ на свой вопрос.   -  person Sanjay Salunkhe    schedule 13.06.2016

@Bor - если я не включаю одноразовый номер и временную метку в URL-адрес, а мой URL-адрес использует ssl (защищенное соединение), то будет ли вероятность повторной атаки ??   -  person Sanjay Salunkhe    schedule 14.06.2016

Да, повторная атака злоумышленника вашего приложения. Они могут сохранить и воспроизвести запрос гораздо позже, когда они перестанут быть авторизованными пользователями вашего приложения и выполнять действия или читать данные. SSL/TLS защищает соединение только от посредников или перехватчиков, но не от злоумышленников.   -  person SilverlightFox    schedule 15.06.2016

Возможный дубликат отметки времени в аутентификации hMAC   -  person pim    schedule 15.09.2017