7
好吧,我知道如何OAuth的作品,但我不知道为什么我们需要oauth_nonce。我们真的需要“oauth_nonce”吗?
规范说时间戳/临时值必须是唯一的解决重放攻击,但怎么样,如果consumer_key够独特之处?
如果consumer_key不是唯一的,它是如何找到相应oauth_nonce?
A
回答
10
键是唯一的,但不经常更改。另一方面,随机数需要在每个请求中都是唯一的。
请考虑以下情况。先决条件是:攻击者可以监视你的通信,但不知道任何秘密。如果没有随机数,他可以进行重播攻击:他可以简单地复制并重发以前的任何请求,因为他知道您已发送的请求是有效的。
随机数可以防止这种情况,因为服务器会检查所有最近使用的随机数(there is a time limit),并且不会接受任何随机数两次。
相关问题
- 1. 我们真的需要EDT吗?
- 2. 我们真的需要Automapper吗?
- 3. c#vb:我们真的需要System.Lazy吗?
- 4. css BEM - 我们真的需要E吗?
- 5. 我真的需要atexit_b吗?
- 6. 我真的需要MVVM吗?
- 7. 我真的需要bindParam吗?
- 8. 我真的需要hiveserver2吗?
- 9. 我们真的需要类来实现Java中的多态吗?
- 10. 我们需要指针吗?
- 11. 我们真的需要在MapReduce框架中进行排序吗?
- 12. 我们真的需要在Java RMI中创建存根吗?
- 13. iOS开发,我们真的需要iPhone/iPod/iPad吗?
- 14. CPPUNIT:我们真的需要每个测试一个功能吗?
- 15. 我们真的需要std :: error_category和std :: error_condition吗?
- 16. 我们真的需要应用服务器吗?
- 17. 我们真的需要在Git中分支吗?
- 18. Rhino Mocks - 我们真的需要存根吗?
- 19. 我们真的需要多线程JavaScript吗?
- 20. 我真的需要做mysql_close()吗?
- 21. 我真的需要写这个“SerializationHelper”吗?
- 22. 我真的需要加密数据吗?
- 23. Portal:我真的需要一个Portal吗?
- 24. 我真的需要使用ContentProvider吗?
- 25. INDY - 我真的需要cookies吗?
- 26. 我真的需要服务层吗?
- 27. 我真的需要散列密码吗?
- 28. 我真的需要码头群吗?
- 29. GLSL Renderbuffer真的需要吗?
- 30. Subversion *真的需要ActivePython吗?
感谢您的答复!现在我知道了。我不能使用key而不是nonce来标识消费者,因为消费者可能会再次请求,如果使用nonce,我们可以使用唯一的nonce来避免重放攻击,但是如果我记录consumer_key而不是nonce,它甚至不能执行正常的请求因为我已经将consumer_key记录为已经访问过 – user2234995