OAuth 2使用nonce吗？

Question

我在2.0规范中没有提到它，现在OAuth 2没有使用它，如果没有，现在它能防止重放攻击吗？

1.0规范指出：

3.3。现在和时间戳 时间戳值必须是正整数。除非服务器的文档另有规定，时间戳以自1970年1月1日00:00:00格林尼治标准时间以来的秒数表示。 nonce是一个随机字符串，由客户端唯一地生成，以允许服务器验证以前从未发出过请求，并有助于防止在非安全信道上发出请求时的重放攻击。在具有相同时间戳、客户端凭据和令牌组合的所有请求中，当前值必须是唯一的。 为了避免在将来的检查中保留无限数量的当前值，服务器可以选择限制拒绝具有旧时间戳的请求的时间段。请注意，此限制意味着客户端和服务器时钟之间的同步级别。应用这种限制的服务器可以为客户端提供一种与服务器时钟同步的方法；或者，两个系统都可以与受信任的时间服务同步。时钟同步策略的细节超出了本规范的范围。

Answer 1

这是在另一个规范中捕获的。详细信息/答案请参见OAuth 2.0威胁模型及安全考虑 :)