本文为博主原创,转载请注明出处:
1.防重放攻击:请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。
2。解决方案:
a. 基于timestamp防止重放攻击
每次 http 请求时,都添加 timestamp 时间戳的参数,服务端接收到请求时,解析 timestamp 值,并与当前时间进行比较,判断是否超过60s,
如果超过60s 则丢弃该请求。
b. 基于nonce值得防重放攻击
每次http请求时,都添加 一个固定长度的随机数或请求ip加随机数进行hash生成的字符串,服务端在接受到请求的时候,解析请求的nonce值,并将nonce值存于数据库或缓存中,
当请求时,判断数据库或缓存中是否存在该nonce值,如果存在则丢弃该请求。 此时,使用nonce值,在 http 请求时,nonce值可以保证请求的唯一性。
c .基于timstamp和nonce值防止重放攻击
单纯基于 timestamp 进行防重放攻击也会存在风险,如果请求被中间人或是黑客获取,且请求的时间戳与当前时间比较时,仍小于60s 时,此时则
不能进行防重放攻击。
单纯使用nonce值时,需要服务端不断地保存nonce值,则会导致数据库保存大量的nonce值,影响效率。
基于以上两种情况,则将两者结合一起使用,nonce值可以保证请求的唯一性,timestamp可以保证请求的时效性。并将保存于数据库或缓存中的nonce值,
每隔60s清除一次或将缓存中的nonce值时效时间设置为60s。这样就可以减少nonce值对数据库的压力,提高性能。
3.
以上请求中nonce值或时间戳等值,若都使用明文传输,会存在被中间人或黑客截取,再次发起请求的风险。所以在
基于timestamp和nonce的防重放攻击
https://www.cnblogs.com/mymelody/p/7325325.html
重放攻击-实例解析
https://www.cnblogs.com/sharphui2018727-WYH/p/10068383.html
https://www.cnblogs.com/happystudyhuan/p/12286076.html
基于timestamp和nonce的防止重放攻击方案
https://blog.csdn.net/koastal/article/details/53456696