我没有在2.0规范中看到它提到过,OAuth 2没有使用nonce,如果没有,现在它是否会阻止重放攻击?
1.0 spec州:
3.3。 Nonce和Timestamp
时间戳值必须是正整数。除非服务器文档另有规定,否则时间戳以自1970年1月1日00:00:00 GMT以来的秒数表示。
随机数字是一个随机字符串,由客户端唯一生成,以允许服务器验证以前从未做过请求,并在通过非安全通道发出请求时帮助防止重放攻击。对于具有相同时间戳,客户端凭据和令牌组合的所有请求,nonce值必须是唯一的。
为了避免为将来的检查保留无限数量的nonce值,服务器可以选择限制具有旧时间戳的请求被拒绝的时间段。请注意,此限制意味着客户端和服务器时钟之间的同步级别。应用这种限制的服务器可以为客户端提供一种与服务器时钟同步的方法;或者,两个系统都可以与可信时间服务同步。时钟同步策略的细节超出了本规范的范围。