AWS使用HMAC身份验证使其API安全。 HMAC身份验证使用nonce和timestamp使api不受重放攻击的影响。
我已经阅读了很多关于oauth2协议的文档,但没有找到任何文章说oauth2使用nonce和timestamp来防止重放攻击。
我的问题是,如果oauth2没有使用nonce和时间戳,那么它如何防止重放攻击?
谢谢,
Sanjay Salunkhe
答案 0 :(得分:0)
OAuth 2.0依赖于TLS的机密性,这意味着攻击者无法拦截令牌/消息,因此无法重放。正如规范在第10.3节中所述,https://tools.ietf.org/html/rfc6749#section-10.3:
访问令牌凭据(以及任何机密访问令牌) 在运输和储存过程中必须保密,并且 只在授权服务器之间共享,资源服务器为
访问令牌对于访问令牌所属的客户端是有效的 发行。访问令牌凭证必须仅使用TLS发送 如第1.6节所述,服务器认证由
定义 [RFC2818]。