我在stackoverflow上发现了许多关于摘要式身份验证的问题。我找不到摘要验证如何防止重放攻击?我使用fiddler工具拦截对服务器的http请求。我使用相同的工具将请求重播到服务器,但服务器要求进行身份验证。
我需要准确理解如何实现防止重放攻击。服务器如何检测http请求的任何重播?
任何链接/资源都将受到赞赏。
答案 0 :(得分:7)
摘要式身份验证通过使用服务器指定的nonce来防止重放攻击。当客户端尝试发出未经身份验证的请求时,服务器会生成随机的nonce,客户端必须将nonce合并到其响应中。由服务器来管理有效的nonce,并在使用它们时使它们无效,以防止重放。