如何减轻重播攻击? 我网站的回叫网址可以轻松重播以获得有效令牌。 我在OAuth 2中看到过,并确定了可以通过添加随机数来防止这种情况的服务器文档。
我正在使用identitserver 4和angular 6 / aspcore API。 如何使用随机数来验证和缓解攻击?
如果是,则在何处验证随机数(身份服务器端或客户端“ Angular”。)
答案 0 :(得分:1)
如果您不使用随机数并对其进行验证,则说明您未使用OpenID Connect协议。
简单来说,您将生成一个随机数,将其发送到授权请求中,并将其临时存储在本地,然后检查生成的id_token是否包含具有匹配值的随机数。这可以验证该回调与您刚发出的请求有关,因此不能再次使用相同的回调请求。