我在 stackoverflow 上发现了很多关于摘要身份验证的问题。我找不到摘要身份验证如何防止重放攻击?我使用 fiddler 工具来拦截对服务器的 http 请求。我使用相同的工具将请求重播到服务器,但服务器要求进行身份验证。
我需要准确了解如何防止重放攻击。服务器如何能够检测到 http 请求的任何重放?
任何链接/资源将不胜感激。
我在 stackoverflow 上发现了很多关于摘要身份验证的问题。我找不到摘要身份验证如何防止重放攻击?我使用 fiddler 工具来拦截对服务器的 http 请求。我使用相同的工具将请求重播到服务器,但服务器要求进行身份验证。
我需要准确了解如何防止重放攻击。服务器如何能够检测到 http 请求的任何重放?
任何链接/资源将不胜感激。
摘要式身份验证通过使用服务器指定的nonce来防止重放攻击。当客户端尝试发出未经身份验证的请求时,服务器会生成一个随机随机数,客户端必须将随机数合并到其响应中。由服务器来管理有效的 nonce,并在它们被使用时使其无效,以防止重放。