7
好吧,我知道如何OAuth的作品,但我不知道爲什麼我們需要oauth_nonce。我們真的需要「oauth_nonce」嗎?
規範說時間戳/臨時值必須是唯一的解決重放攻擊,但怎麼樣,如果consumer_key夠獨特之處?
如果consumer_key不是唯一的,它是如何找到相應oauth_nonce?
A
回答
10
鍵是唯一的,但不經常更改。另一方面,隨機數需要在每個請求中都是唯一的。
請考慮以下情況。先決條件是:攻擊者可以監視你的通信,但不知道任何祕密。如果沒有隨機數,他可以進行重播攻擊:他可以簡單地複製並重發以前的任何請求,因爲他知道您已發送的請求是有效的。
隨機數可以防止這種情況,因爲服務器會檢查所有最近使用的隨機數(there is a time limit),並且不會接受任何隨機數兩次。
相關問題
- 1. 我們真的需要EDT嗎?
- 2. 我們真的需要Automapper嗎?
- 3. c#vb:我們真的需要System.Lazy嗎?
- 4. css BEM - 我們真的需要E嗎?
- 5. 我真的需要atexit_b嗎?
- 6. 我真的需要MVVM嗎?
- 7. 我真的需要bindParam嗎?
- 8. 我真的需要hiveserver2嗎?
- 9. 我們真的需要類來實現Java中的多態嗎?
- 10. 我們需要指針嗎?
- 11. 我們真的需要在MapReduce框架中進行排序嗎?
- 12. 我們真的需要在Java RMI中創建存根嗎?
- 13. iOS開發,我們真的需要iPhone/iPod/iPad嗎?
- 14. CPPUNIT:我們真的需要每個測試一個功能嗎?
- 15. 我們真的需要std :: error_category和std :: error_condition嗎?
- 16. 我們真的需要應用服務器嗎?
- 17. 我們真的需要在Git中分支嗎?
- 18. Rhino Mocks - 我們真的需要存根嗎?
- 19. 我們真的需要多線程JavaScript嗎?
- 20. 我真的需要做mysql_close()嗎?
- 21. 我真的需要寫這個「SerializationHelper」嗎?
- 22. 我真的需要加密數據嗎?
- 23. Portal:我真的需要一個Portal嗎?
- 24. 我真的需要使用ContentProvider嗎?
- 25. INDY - 我真的需要cookies嗎?
- 26. 我真的需要服務層嗎?
- 27. 我真的需要散列密碼嗎?
- 28. 我真的需要碼頭羣嗎?
- 29. GLSL Renderbuffer真的需要嗎?
- 30. Subversion *真的需要ActivePython嗎?
感謝您的答覆!現在我知道了。我不能使用key而不是nonce來標識消費者,因爲消費者可能會再次請求,如果使用nonce,我們可以使用唯一的nonce來避免重放攻擊,但是如果我記錄consumer_key而不是nonce,它甚至不能執行正常的請求因爲我已經將consumer_key記錄爲已經訪問過 – user2234995