- 如果协议(受 OAuth 影响)仅使用
timestamp, 和nonce, - 服务器强烈检查这两个因素,
request method省略,request URL和是否(可以说)安全query parameters?
我有一个受 OAuth 影响很大的自定义 HTTP 协议。
some-NAME: unencrypted information for identifying client and locating the shared secret key
some-INIT: iv
some-CODE: AES256-encrypted information; timestamp and nonce are in here
some-AUTH: Hmac with SHA512 for CODE before encrypted.
当服务器端只检查timestampandnonce时,它安全吗?some replay attacks 还是 some bastards-in-the-middle-attacks 可以吗?
更新 - - - - - - - - - - - - - - -
该协议实际上授权移动设备。个人身份验证是可选的附加功能。